Содержание

Положение об обработке персональных данных НИУ ВШЭ

For English version please follow the link

1. Общие положения

1.1. При обработке персональных данных Национальный исследовательский университет «Высшая школа экономики» (далее – НИУ ВШЭ, университет) исходит из необходимости обеспечения защиты прав и свобод человека и гражданина в соответствии с требованиями законодательства Российской Федерации.

1.2. Соблюдение Положения является главным условием обработки персональных данных университетом и обязательно для всех работников НИУ ВШЭ.

1.3. Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, определение политики НИУ ВШЭ как оператора в отношении обработки персональных данных. Положение регулирует отношения НИУ ВШЭ и граждан, возникающие в связи с обработкой их персональных данных университетом.

1.

4. НИУ ВШЭ принимает правовые, организационные и технические меры, необходимые для обеспечения исполнения законодательства о персональных данных, либо обеспечивает их принятие.

1.5. В Положение могут вноситься изменения без предварительного уведомления субъектов персональных данных и прочих лиц. Актуальная редакция Положения размещена на корпоративном сайте (портале) НИУ ВШЭ по адресу: https://www.hse.ru/data_protection_regulation.

1.6. Положение и изменения в него утверждаются приказом ректора НИУ ВШЭ.

2. Термины и определения

2.1. Термины и определения, используемые в Положении, приведены в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и иными нормативными правовыми актами Российской Федерации, а именно:

2.1.1. персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

ПДн и их категории могут различаться по степени определенности и определимости субъекта ПДн и зависят от действительной возможности определения на их основе конкретного человека и гражданина (субъекта).

Данные, не определяющие личность человека и гражданина, или не позволяющие определить такую личность даже с применением каких-либо процедур[1], не являются ПДн, а их обработка не связана с необходимостью соблюдения законодательства Российской Федерации о ПДн. К указанным данным могут относится такие популярные сведения, как пол, возраст, должность[2], профессия, хобби и пр., и сведения, появляющиеся в связи с повсеместным проникновением сети Интернет в повседневную жизнь[3], до тех пор, пока такие сведения не позволяют установить личность человека и гражданина;

2.1.2. субъекты ПДн – определенные или определяемые (поддающиеся определению) физические лица. К числу таких лиц могут относиться работники, абитуриенты, обучающиеся и выпускники НИУ ВШЭ, участники олимпиад и других мероприятий, проводимых университетом, и иные лица;

2. 1.3. работник – физическое лицо, вступившее в трудовые отношения с университетом;

2.1.4. обучающийся – физическое лицо, осваивающее образовательную программу. Для целей Положения к обучающимся относятся также физические лица, приобретающие какие-либо знания, умения и навыки, формирующие компетенции, удовлетворяющие свои образовательные потребности в интеллектуальном, духовно-нравственном, физическом и (или) профессиональном совершенствовании в иной форме, а также абитуриенты;

2.1.5. выпускник – физическое лицо, завершившее освоение образовательной программы;

2.1.6. обработка персональных данных (далее – обработка ПДн)

– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2. 1.7. оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей Положения оператором является НИУ ВШЭ;

2.1.8. законодательство о ПДн – Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и иные нормативные правовые акты, регулирующие отношения, связанные с обработкой ПДн.

3. Условия обработки персональных данных

3.1. Получая ПДн от работников, обучающихся, иных лиц, указанных в настоящем Положении, и начиная их хранение, НИУ ВШЭ становится оператором. Обработка ПДн осуществляется НИУ ВШЭ с соблюдением принципов, условий и правил, предусмотренных законодательством о ПДн, в следующих основных случаях:

3. 1.1. обработка персональных данных осуществляется с согласия субъекта ПДн на обработку его ПДн. При этом для обработки специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических ПДн, если обработка таких ПДн не противоречит локальным нормативным актам НИУ ВШЭ, равно как и для включения любых ПДн в общедоступные источники ПДн и/или передачи ПДн работников третьим лицам необходимо получение указанного согласия в письменной форме либо в форме электронного документа, подписанного усиленной квалифицированной электронной подписью.

К указанному случаю относится, в частности, обработка ПДн:

  • соискателей на замещение вакантных должностей для целей, обусловленных принятием решения в отношении их кандидатур, в том числе получения информации у предшествующих работодателей, обеспечения должного уровня безопасности при их посещении территорий и помещений, на/в которых расположен НИУ ВШЭ; формирования и использования банка данных перспективных соискателей;
  • работников НИУ ВШЭ в целях информационного обеспечения деятельности НИУ ВШЭ, в том числе посредством ведения онлайн справочников, адресных книг, включая страницу «Преподаватели и сотрудники» корпоративного сайта (портала) НИУ ВШЭ, корпоративную информационную систему «Телефонный справочник» и иные общедоступные источники ПДн; печати и размещения информационных табличек; печати и предоставления визитных карточек; приема, фиксации и исполнения заявок, заявлений, запросов и иных видов обращений субъектов ПДн; оформления полисов обязательного медицинского страхования, добровольного медицинского страхования; обеспечения действующего в НИУ ВШЭ уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территории и в помещениях, на/в которых расположен НИУ ВШЭ; идентификации личности работника НИУ ВШЭ; проведения в НИУ ВШЭ мероприятий и освещения информации о них, в том числе при проведении видеозаписи проводимых мероприятий; обеспечения возможности НИУ ВШЭ для оформления отношений с кредитными организациями, открывающими и обслуживающими платежные карты для начисления и перечисления заработной платы; обеспечения возможности НИУ ВШЭ привлечения третьих лиц для ведения кадрового, бухгалтерского и налогового учета; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи; обеспечения правовой охраны интеллектуальной собственности; выполнения работ, в том числе научно-исследовательских, опытно-конструкторских и технологических, и оказания услуг по заказам третьих лиц и в рамках исполнения государственного задания, осуществления экспертно-аналитической деятельности; статистических и иных исследовательских целях, научной и иной творческой деятельности, осуществляемой в НИУ ВШЭ;
  • бывших работников НИУ ВШЭ в целях обеспечения ретроспективы кадрового учета; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; предоставления таким работникам справок, в том числе для подтверждения стажа и размеров заработной платы; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • участников проводимых НИУ ВШЭ или с его непосредственным участием познавательных, образовательных и научных мероприятий с целью учета количества участников, анализа их профессиональных интересов, обеспечения действующего в НИУ ВШЭ уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территории и в помещениях, на/в которых расположен НИУ ВШЭ; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • обучающихся НИУ ВШЭ в целях раскрытия и развития их талантов и способностей; эффективного формирования образовательных траекторий и внедрения в образовательные процессы практико-ориентированных компонентов, повышающих качество подготовки и востребованность успешных обучающихся на рынках труда; формирования возможностей онлайн образования, в частности, посредством единой информационной образовательной среды (LMS – Learning Management System) и иных платформ НИУ ВШЭ, в том числе с передачей их ПДн третьим лицам; учета посещаемости и успеваемости, а также определения причин, оказывающих негативное влияние на таковые; размещения на корпоративном портале (сайте) НИУ ВШЭ сведений о прохождении ими практик, подготовленных промежуточных (курсовых) и итоговых контрольных (выпускных квалификационных) работ, самих таких работ, результатов текущего контроля успеваемости, промежуточной, итоговой и государственной итоговой аттестации, для обеспечения открытости и прозрачности процесса их оценивания; обеспечения их участия в выполнении работ, в том числе научно-исследовательских, опытно-конструкторских и технологических работ, и оказании услуг по заказам третьих лиц и в рамках исполнения государственного задания; содействия в трудоустройстве, в том числе с передачей их ПДн третьим лицам; формирования единого сообщества обучающихся для повышения интереса и междисциплинарной интеграции; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • выпускников НИУ ВШЭ в целях содействия в трудоустройстве, в том числе с передачей их ПДн третьим лицам; формирования единого сообщества выпускников, в том числе для обеспечения возможности их взаимодействия с обучающимся (наставничества) и мотивации обучающихся; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
  • руководителей и иных представителей юридических лиц – контрагентов или потенциальных контрагентов по договорам, соглашениям и контрактам (далее в совокупности – договоры) в целях подготовки к заключению договоров и исполнения таких договоров, ведения учета заключенных договоров.

3.1.2. обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на НИУ ВШЭ как оператора функций, полномочий и обязанностей, в том числе:

  • трудовым законодательством (включая законодательство об охране труда), состоящим из Трудового кодекса Российской Федерации, иных федеральных законов и законов субъектов Российской Федерации, содержащих нормы трудового права;
  • Правилами ведения реестра договоров, заключенных заказчиками по результатам закупки, утвержденными постановлением Правительства Российской Федерации от 31.10.2014 № 1132;
  • Порядком проведения олимпиад школьников, утвержденным приказом Министерства образования и науки Российской Федерации от 04.04.2014 № 267;
  • Порядком приема на обучение по образовательным программам высшего образования – программам бакалавриата, программам специалитета, программам магистратуры, утвержденным приказом Министерства образования и науки Российской Федерации от 14. 10.2015 № 1147;
  • иными нормативными правовыми актами Российской Федерации.

К указанному случаю относится, в частности, обработка ПДн работников, обучающихся, абитуриентов, участников олимпиад и конкурсов, а также физических лиц – контрагентов НИУ ВШЭ.

3.1.3. обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

К указанному случаю относится, в частности, обработка ПДн обучающихся на местах по договорам об оказании платных образовательных услуг, в том числе обучающихся по дополнительным профессиональным программам, прочих получателей услуг и работ НИУ ВШЭ, а также физических лиц – контрагентов НИУ ВШЭ. К указанному случаю обработки ПДн может также относиться обработка, осуществляемая НИУ ВШЭ на основании предоставляемых в связи с заключением указанных договоров согласий на обработку ПДн.

3.1.4. обработка ПДн необходима для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

3.1.5. обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;

3.1.6. осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (ПДн, сделанные общедоступными субъектом ПДн).

3.2. Все вышеуказанные ПДн субъектов, групп субъектов ПДн и иные ПДн обрабатываются в объеме и в сроки, предусмотренные соответствующими согласиями на обработку ПДн, в том числе выраженными в тексте трудовых и гражданско-правовых договоров, и/или в нормативных правовых актах, и/или локальных нормативных актах НИУ ВШЭ, и/или вытекающими из таких нормативных правовых актов и локальных нормативных актов НИУ ВШЭ, либо в сроки, необходимые для достижения указанных целей. Вышеперечисленные условия обработки ПДн не являются исчерпывающими. Предоставляемые согласия на обработку ПДн могут дополнять или изменять иным образом цели, объем, способы и сроки обработки ПДн.

3.3. Обработка ПДн иных лиц осуществляется при наличии их согласий, если они фактически взаимодействуют с НИУ ВШЭ, в том числе в форме возникающих или существующих правоотношений. Если иное не указано в Положении, заключаемых договорах или предоставляемых субъектами ПДн согласиях на обработку ПДн, НИУ ВШЭ использует такие ПДн исключительно для целей, для которых они были предоставлены университету, в частности, в целях предоставления ответов на вопросы, предоставления доступа к определенной информации и знаниям.

3.4. Работники НИУ ВШЭ, которые обрабатывают ПДн в университете, заблаговременно, до начала обработки ПДн, должны убедиться в ее допустимости и законности, удостовериться относительно обладания университетом соответствующими полномочиями и/или согласиями субъектов ПДн. При отсутствии таких полномочий и/или согласий указанный работник НИУ ВШЭ должен обеспечить получение согласия от субъекта, обработка ПДн которого планируется. В этой связи он может:

  • предусматривать в различных электронных регистрационных формах, переписке по электронной почте и телефонных переговорах получение согласий на обработку ПДн от соответствующих субъектов ПДн с обязательной фиксацией такого согласия в любой позволяющей подтвердить факт его получения форме, в том числе с последующим личным подтверждением предоставления согласий такими субъектами;
  • применять рекомендуемую форму письменного согласия, размещенную на странице корпоративного сайта (портала) НИУ ВШЭ по адресу: https://legal.hse.ru/rndip/information_sharing.

3.5. К работникам НИУ ВШЭ, которые обрабатывают ПДн в университете, по должности относятся:

  • ректор;
  • президент, вице-президент, научный руководитель;
  • первые проректоры, проректоры, находящиеся в непосредственном подчинении ректору;
  • проректоры, находящиеся в непосредственном подчинении первым проректорам, старшие директора и директора по направлениям деятельности;
  • работники Секретариата университета;
  • главный бухгалтер;
  • работники Управления персонала;
  • работники Управления бухгалтерского учета;
  • работники Планово-финансового управления;
  • работники Дирекции по правовым вопросам;
  • работники Управления виз и регистраций Дирекции по интернационализации;
  • работники Управления делами;
  • работники Управления по информационным ресурсам и управления разработки и поддержки информационных систем портала Дирекции по связям с общественностью и информационным ресурсам;
  • работники Управления по работе с абитуриентами и Управления дополнительного образования – в отношении ПДн абитуриентов;
  • работники Дирекции основных образовательных программ, Дирекции по профессиональной ориентации и работе с одаренными учащимися, Управления дополнительного образования, факультетов – в отношении ПДн обучающихся;
  • работники Дирекции по безопасности;
  • работники Дирекции информационных технологий и Управления развития информационных технологий.

Ректор, первые проректоры, проректоры, директора и старшие директора могут делегировать часть своих полномочий иным работникам НИУ ВШЭ в порядке, предусмотренном локальными нормативными актами НИУ ВШЭ, а также определять иных лиц, которые в соответствии со своей трудовой функцией имеют непосредственное отношение к обработке ПДн.

3.6. Всякий раз, когда получение необходимого согласия на обработку ПДн невозможно и имеются достаточные основания полагать, что обработка ПДн может нарушить права субъекта(-ов) ПДн, соответствующий работник НИУ ВШЭ уведомляет любым фиксированным способом (на бумажном носителе, по корпоративной электронной почте, факсимильной связью) об этом Управление персонала НИУ ВШЭ (в отношении ПДн работников), руководителей структурных подразделений, реализующих образовательные программы (в отношении ПДн обучающихся), и/или Дирекция по правовым вопросам (в отношении ПДн остальных субъектов) для выработки обоснованного подхода к обработке ПДн или установления невозможности их обработки.

Руководители структурных подразделений НИУ ВШЭ, в непосредственной деятельности которых происходит обработка ПДн граждан, обеспечивают принятие всех необходимых мер по соблюдению законности обработки ПДн, в том числе получение согласий на обработку и, при необходимости, разработку локальных нормативных актов, определяющих условия обработки ПДн соответствующих групп субъектов.

3.7. В отсутствие указания на иное, предоставляя свои ПДн университету, субъект ПДн принимает условия Положения и тем самым свободно, своей волей и в своем интересе распоряжается ими, осознает последствия их предоставления и выражает свое согласие на их обработку в целях, для достижения которых они предоставляются, а также в целях соблюдения НИУ ВШЭ нормативных и ненормативных правовых актов, принимаемых в Российской Федерации; исполнения решений, поручений и запросов органов государственной власти, осуществляющих отдельные функции и полномочия учредителя НИУ ВШЭ, а также иных органов государственной власти и их должностных лиц; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи; осуществления НИУ ВШЭ уставной деятельности; а также аккумуляции сведений о лицах, взаимодействующих с НИУ ВШЭ, путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения, совершаемых, в том числе с использованием средств автоматизации. Объем обрабатываемых ПДн в указанном случае ограничивается теми данными, которые предоставлены субъектами ПДн самостоятельно, а срок обработки ПДн составляет 5 (пять) лет с момента их предоставления.

Несмотря на широкий перечень действий, допустимых с ПДн, на совершение которых дается такое согласие, при обработке ПДн НИУ ВШЭ ограничивается достижением конкретных, заранее определенных, законных целей и не допускает избыточности их обработки.

НИУ ВШЭ воздерживается от продажи или предоставления в пользование ПДн в какой-либо объективной форме. Обработка ПДн в НИУ ВШЭ за пределами вышеуказанных случаев, в отсутствие согласий субъектов ПДн на их обработку, запрещена.

4. Доступ к персональным данным

4.1. К обработке ПДн в НИУ ВШЭ допускаются только те лица, которые указаны или определены в Положении, лица, которым в установленном настоящим Положением порядке делегированы соответствующие полномочия, а также лица, чьи ПДн подлежат обработке.

4.2. Иные работники НИУ ВШЭ могут получать доступ к ПДн в целях чтения и подготовки методических, аналитических, сводных и иных материалов в части вопросов, относимых к деятельности таких лиц или структурных подразделений НИУ ВШЭ, к которым они относятся. Доступ иных работников НИУ ВШЭ к ПДн может быть осуществлен исключительно при условии предоставления университету обязательств таких лиц по сохранению соответствующих ПДн в тайне.

4.3. Доступ к ПДн, содержащимся в каких-либо электронных базах данных и в информационных системах университета, осуществляется на основании решения Старшего директора по информационным технологиям или лица, его замещающего. В основе такого решения лежит совокупность различных факторов, влияющих на возможность нарушения законодательства о ПДн, в частности, возможность неправомерного доступа и распространения ПДн.

4.4. Лица, виновные в нарушении порядка обработки ПДн, несут предусмотренную законодательством Российской Федерации ответственность. В отношении работников НИУ ВШЭ, нарушивших порядок обработки ПДн, могут быть применены дисциплинарные взыскания.

5. Особенности защиты персональных данных работников

5.1. Защита ПДн представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты ПДн от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн;
  • соблюдение конфиденциальности ПДн;
  • реализацию права на доступ к ПДн.

5.2. Университет обеспечивает эффективную работу системы защиты ПДн, которая включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в информационных системах. Обеспечение защиты ПДн в университете осуществляется Дирекцией информационных технологий Национального исследовательского университета «Высшая школа экономики».

5.3.  Защита ПДн работников НИУ ВШЭ от неправомерного их использования или утраты обеспечивается за счет средств университета в порядке, установленном федеральным законом.

5.4. Защита ПДн, хранящихся в электронных базах данных и в информационных системах университета, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системы паролей.

5.5. Организация хранения ПДн в университете осуществляется в порядке, исключающем их утрату или их неправомерное использование.

5.6. Организацию и контроль за защитой ПДн работников университета, осуществляют работники НИУ ВШЭ, которые обрабатывают ПДн в университете по должности, а также руководители соответствующих структурных подразделений, работники которых обрабатывают ПДн в университете по должности.

5.7. Для регламентации доступа работников НИУ ВШЭ к ПДн, документам, в том числе электронным, иным материальным носителям, базам данных и информационным системам, содержащим ПДн, в целях исключения несанкционированного доступа третьих лиц и защиты ПДн работников первые проректоры, проректоры, директора и старшие директора, а также руководители соответствующих структурных подразделений, работники которых обрабатывают ПДн в университете по должности, обязаны соблюдать и обеспечивать:

  • ограничение и регламентацию состава работников, трудовые обязанности которых требуют доступа к ПДн;
  • строгое избирательное и обоснованное распределение документов, иных материальных носителей, содержащих ПДн, между работниками;
  • рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование ПДн;
  • знание соответствующими работниками требований нормативных правовых и локальных нормативных актов по защите информации и сохранении конфиденциальности такой информации;
  • наличие необходимых условий в помещении для работы с документами, иными материальными носителями, базами данных и информационными системами, содержащими ПДн;
  • определение и регламентацию состава работников, имеющих право доступа к базам данных и информационным системам, содержащим ПДн;
  • организацию порядка уничтожения материальных носителей, содержащих ПДн, и его соблюдение;
  • своевременное выявление нарушения требований разрешительной системы доступа к ПДн;
  • работу в структурном подразделении по предупреждению утраты и разглашению ПДн при работе с ними;
  • ограничение доступа к документам, иным материальным носителям, базам данных и информационным системам, содержащим ПДн.

5.8. Для защиты ПДн работников в НИУ ВШЭ обеспечивается соблюдение, в частности:

  • порядка приема, учета и контроля деятельности посетителей;
  • пропускного режима;
  • учета и порядка выдачи пропусков;
  • технических средств охраны, сигнализации;
  • порядка охраны территории, зданий, помещений, транспортных средств;
  • требований к защите информации при интервьюировании и собеседованиях.

5.9. Все меры по обеспечению конфиденциальности ПДн при их обработке распространяются как на материальные носители, так ПДн, представленные в электронном формате.

6. Права субъекта персональных данных

6.1. Университет не осуществляет обработку ПДн в отсутствие согласий субъектов ПДн и/или за пределами условий обработки ПДн, указанных в законодательстве о ПДн, если иное не установлено законодательством Российской Федерации.

6.2. Субъект ПДн имеет право ознакомиться с объемом предоставленного им НИУ ВШЭ согласия и, при необходимости, обратиться в указанные в Положении структурные подразделения НИУ ВШЭ с целью совершения иных действий, предусмотренных законодательством о ПДн.

6.3. Любой субъект ПДн вправе направить в адрес НИУ ВШЭ отзыв предоставленного им согласия на обработку его ПДн в той же форме, в которой такое согласие от него было получено.

6.4. Субъект ПДн может осуществлять иные права, предусмотренные законодательством о ПДн.



[1] В частности, посредством поисковых запросов, запросов в информационно-коммуникационной сети «Интернет», в том числе в социальных сетях и пр.

[2] В случае, если она не уникальна, без указания места работы.

[3] В частности, сведения о динамических IP-адресах для непрофессионального потребителя услуг связи.

 


Если у Вас остались вопросы, связанные с обработкой персональных данных в Университете, вы хотите сообщить о нарушении или отозвать свое согласие, Вы можете связаться с нами, заполнив следующую форму.

Положение об обработке персональных данных

1. Общие положения.
1.1. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.
Настоящее Положение разработано в целях выполнения указанных выше норм Конституции РФ, в соответствии с требованиями законодательства Российской Федерации и иных нормативных правовых актов в сфере обработки персональных данных.
1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников Общество с ограниченной ответственностью “Квартет” (далее Оператор) с персональными данными пользователей интернет ресурса http://kvartet-tmn. ru (далее Клиентов) и гарантии конфиденциальности сведений о Клиенте, предоставленных Клиентом организации; права Клиента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных Клиента.
1.3. Оператор вправе осуществлять полномочия по обработке персональных данных Клиентов других организаций по договору аутсорсинга, которая в дальнейшем также именуется Оператором. В указанном случае, Оператор и организация, с которой заключен такой договор, солидарно отвечают перед Клиентом, права которого нарушены, за причиненный таким нарушением материальный ущерб и моральный вред. Клиент вправе по своему усмотрению предъявить соответствующие требования к любой из указанных организаций. Принципы распределения последствий такого возмещения Клиенту между организациями, устанавливаются в соответствующем договоре аутсорсинга.

2. Понятие и состав персональных данных Клиента
2.1. Персональные данные Клиента – любая информация, относящаяся прямо или косвенно к клиенту (субъекту персональных данных).
2.2. К персональным данным Клиента относятся следующие сведения:
• фамилия, имя, отчество;
• пол;
• дата рождения;
• место рождения;
• гражданство;
• образование, специальность;
• место работы;
• состояние в браке;
• состав семьи;
• место регистрации;
• адрес места жительства и домашний телефон;
• виды и объём оказанных Клиенту услуг
• иные сведения о Клиенте, необходимые для выполнения договора и позволяющие идентифицировать его личность.

3. Сбор, цели обработки и защита персональных данных Клиента
3.1. Обработка персональных данных Клиента осуществляется:
3.1.1. После заключения с Клиентом договора об оказании услуг или продаже товаров, в котором определены доверие и обязанность по обработке персональных данных. В соответствии с п 2) части 2 статьи 6 ФЗ «О персональных данных» в целях исполнения договора, одной из сторон которого является субъект персональных данных, т.е. Клиент, и получения его согласия на обработку персональных данных не требуется;
3. 1.2. После направления уведомления об обработке персональных данных в орган государственного надзора в сфере связи, информационных технологий и массовых коммуникаций территории, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;
3.1.3. После принятия Оператором необходимых мер по защите персональных данных.
3.2. Все персональные данные Клиента следует получать лично у Клиента или у его законного представителя. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.3. Оператор сообщает Клиенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных.
3.4. При обращении за получением услуг Клиент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А именно:
• паспорт или иной документ, удостоверяющий личность;
• иные документы, в зависимости от того, какую услугу получает Клиент.
При отсутствии документов Клиент (или его законный представитель) предоставляют Оператору необходимые персональные данные в устной форме.
3.5. Оператор с согласия Клиента может запрашивать и получать персональные данные Клиента, используя информационные системы персональных данных с применением средств автоматизации.
3.6. Обработка Оператором персональных данных Клиента осуществляется исключительно в целях оказания Клиенту предусмотренных договором качественных услуг в необходимых объёмах, продаже товаров, соблюдения требований действующего законодательства, иных нормативных правовых актов.
3.7. Оператор при определении объема и содержания обрабатываемых персональных данных Клиента руководствуется Конституцией Российской Федерации, иными нормативными правовыми актами в сфере обработки персональных данных и защиты информации.
3.8. Защита персональных данных Клиента от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.

4. Порядок использования, хранения, передачи персональных данных Клиента
4.1. Персональные данные Клиентов у Оператора содержатся в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях.
4.2. Доступ к обработке персональных данных Клиентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.
4.3. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, в том числе с документами, содержащими персональные данные Клиентов, возлагаются на сотрудников Оператора и закрепляются в должностных инструкциях.
4.4. Работа с информационными системами персональных данных, материальными носителями, в том числе с документацией, содержащими персональные данные Клиентов, осуществляется в специально отведённых для этого помещениях.
4.5. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.
4.6. Перечень лиц, имеющих право доступа к персональным данным Клиентов и обработке их персональных данных, определяется приказом руководителя Оператора.
4.7. С лицами, допущенными к обработке персональных данных Клиентов, заключается Соглашение о неразглашении, или вносятся соответствующие изменения в трудовой договор с ним.
4.8. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные Клиентов, которые необходимы для выполнения договора.
4.9. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.
4.10. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.
4.11. Оператор по достижении целей обработки персональных данных Клиента обязан прекратить обработку этих персональных данных и обеспечить их уничтожение в установленном порядке.

5. Права Клиентов при обработке Оператором их персональных данных
5.1. В целях обеспечения защиты своих интересов, реализации прав и свобод в сфере персональных данных, регламентированных действующим законодательством Клиенты, их законные представители, а также представители имеют право на:
• предоставление Оператором полной информации об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента, за исключением случаев, предусмотренных федеральным законом;
• определение своих представителей для защиты своих персональных данных;
• требование уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Клиентов
6.1 Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
6.3. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным обучающихся, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных обучающихся привлекаются к ответственности, предусмотренной действующим законодательством.

7. Заключительные положения
Настоящая редакция Положения вступает в законную силу с 27.02.2015 года и действует до утверждения нового положения.

Положение об обработке персональных данных

Положение об обработке персональных данных пользователей интернет ресурса www.fregataero.ru (ООО «ДВ «Фрегат Аэро»)

1. Общие положения.
1.1. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.
Настоящее Положение разработано в целях выполнения указанных выше норм Конституции РФ, в соответствии с требованиями законодательства Российской Федерации и иных нормативных правовых актов в сфере обработки персональных данных.
1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников ООО «ДВ «Фрегат Аэро» (далее Оператор) с персональными данными пользователей интернет ресурса www.fregataero.ru (далее Клиентов) и гарантии конфиденциальности сведений о Клиенте, предоставленных Клиентом организации; права Клиента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных Клиента.
1.3. Оператор вправе осуществлять полномочия по обработке персональных данных Клиентов других организаций по договору аутсорсинга, которая в дальнейшем также именуется Оператором. В указанном случае Оператор и организация, с которой заключен такой договор, солидарно отвечают перед Клиентом, права которого нарушены, за причиненный таким нарушением материальный ущерб и моральный вред. Клиент вправе по своему усмотрению предъявить соответствующие требования к любой из указанных организаций. Принципы распределения последствий такого возмещения Клиенту между организациями, устанавливаются в соответствующем договоре аутсорсинга.

2. Понятие и состав персональных данных Клиента
2.1. Персональные данные Клиента – любая информация, относящаяся прямо или косвенно к клиенту (субъекту персональных данных).
2.2. К персональным данным Клиента относятся следующие сведения:
• фамилия, имя, отчество;
• пол;
• дата рождения;
• место рождения;
• гражданство;
• образование, специальность;
• место работы;
• состояние в браке;
• состав семьи;
• место регистрации;
• адрес места жительства и домашний телефон;
• виды и объём оказанных Клиенту услуг
• иные сведения о Клиенте, необходимые для выполнения договора и позволяющие идентифицировать его личность.

3. Сбор, цели обработки и защита персональных данных Клиента
3. 1. Обработка персональных данных Клиента осуществляется:
3.1.1. После заключения с Клиентом договора об оказании услуг, в котором определены доверие и обязанность по обработке персональных данных. В соответствии с п 2) части 2 статьи 6 ФЗ «О персональных данных» в целях исполнения договора, одной из сторон которого является субъект персональных данных, т.е. Клиент, и получения его согласия на обработку персональных данных не требуется;
3.1.2. После направления уведомления об обработке персональных данных в орган государственного надзора в сфере связи, информационных технологий и массовых коммуникаций территории, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;
3.1.3. После принятия Оператором необходимых мер по защите персональных данных.
3.2. Все персональные данные Клиента следует получать лично у Клиента или у его законного представителя. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.3. Оператор сообщает Клиенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных.
3.4. При обращении за получением услуг Клиент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А именно:
• паспорт или иной документ, удостоверяющий личность;
• иные документы, в зависимости от того, какую услугу получает Клиент.
При отсутствии документов Клиент (или его законный представитель) предоставляют Оператору необходимые персональные данные в устной форме.
3.5. Оператор, с согласия Клиента, может запрашивать и получать персональные данные Клиента, используя информационные системы персональных данных с применением средств автоматизации.
3.6. Обработка Оператором персональных данных Клиента осуществляется исключительно в целях оказания Клиенту предусмотренных договором качественных услуг в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов.
3.7. Оператор при определении объема и содержания обрабатываемых персональных данных Клиента руководствуется Конституцией Российской Федерации, иными нормативными правовыми актами в сфере обработки персональных данных и защиты информации.
3.8. Защита персональных данных Клиента от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.

4. Порядок использования, хранения, передачи персональных данных Клиента
4.1. Персональные данные Клиентов у Оператора содержатся в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях.
4.2. Доступ к обработке персональных данных Клиентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.
4.3. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, в том числе с документами, содержащими персональные данные Клиентов, возлагаются на сотрудников Оператора и закрепляются в должностных инструкциях.
4.4. Работа с информационными системами персональных данных, материальными носителями, в том числе с документацией, содержащими персональные данные Клиентов, осуществляется в специально отведённых для этого помещениях.
4.5. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.
4.6. Перечень лиц, имеющих право доступа к персональным данным Клиентов и обработке их персональных данных, определяется приказом руководителя Оператора.
4.7. С лицами, допущенными к обработке персональных данных Клиентов, заключается Соглашение о неразглашении, или вносятся соответствующие изменения в трудовой договор с ним.
4.8. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные Клиентов, которые необходимы для выполнения договора.
4.9. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.
4.10. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.
4.11. Оператор по достижении целей обработки персональных данных Клиента обязан прекратить обработку этих персональных данных и обеспечить их уничтожение в установленном порядке.

5. Права Клиентов при обработке Оператором их персональных данных
5.1. В целях обеспечения защиты своих интересов, реализации прав и свобод в сфере персональных данных, регламентированных действующим законодательством Клиенты, их законные представители, а также представители имеют право на:
• предоставление Оператором полной информации об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента, за исключением случаев, предусмотренных федеральным законом;
• определение своих представителей для защиты своих персональных данных;
• требование уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Клиентов
6.1 Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
6.3. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным обучающихся, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных обучающихся привлекаются к ответственности, предусмотренной действующим законодательством.

7. Заключительные положения

Настоящая редакция Положения вступает в законную силу с 27.02.2015 года и действует до утверждения нового положения.

Положение об обработке персональных данных

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящим Положением устанавливается порядок обработки персональных данных пользователей сайта zakupki.orb.ru, и обеспечивается соблюдение требований защиты прав граждан при обработке персональных данных.

1.2. Настоящее Положение действует до его отмены или до его замены иным аналогичным документом.

Настоящее Положение является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным пользователей.

II. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕМ ПОЛОЖЕНИИ

2.1. Для целей настоящего Положения используются следующие основные понятия:

сайт – совокупность программно-аппаратных средств для ЭВМ, обеспечивающих публикацию данных в Интернет для всеобщего обозрения. Сайт доступен по уникальному электронному адресу или его буквенному обозначению. Может содержать графическую, текстовую, аудио-, видео-, а также иную информацию, воспроизводимую с помощью ЭВМ.

оператор – юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;

персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

субъект персональных данных в контексте настоящего положения – физическое лицо, являющееся пользователем сайта zakupki.orb.ru.

обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

III. Состав персональных данных пользователя

3.1. Состав персональных данных:

Самостоятельно предоставляемые (при регистрации) Пользователем данные:

– фамилия, имя, отчество;

– контактная информация, включая номера телефонов, e-mail.

Автоматически собираемые данные:

– IP-адрес, данные файлов cookie;

– информация о браузере Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем,

– дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация.

3.2. Указанные в пункте 3.1 Положения персональные данные обрабатываются в целях идентификации Пользователей, обеспечения исполнения пользовательского соглашения, предоставления Пользователю персонализированных сервисов, улучшения качества работы сайта, проведения на основе обезличенных персональных данных статистических и иных исследований.

3.3. Обработка персональных данных Пользователей производится с их согласия. Пользователь, регистрирующийся на сайте zakupki.orb.ru с целью получения доступа к сервисам государственной  информационной системы «Региональная информационная система в сфере закупок товаров, работ, услуг для обеспечения государственных нужд Оренбургской области», тем самым выражает свое полное согласие в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» на автоматизированную, а также без использования средств автоматизации, обработку и использование своих персональных данных.

IV. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сведения, перечисленные в статье 3 настоящего Положения, являются конфиденциальными. Обеспечивается конфиденциальность персональных данных и недопущение их распространения без согласия Пользователей, либо наличия иного законного основания.

4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах).

V. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Пользователей осуществляется Оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных пунктом 5.2 настоящей статьи. Обязанность представить доказательство получения согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на оператора.

5.2. Оператор имеет право без согласия субъекта персональных данных осуществлять обработку его персональных данных в следующих случаях:

– обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

– обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

– осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

5.3. В целях обеспечения прав и свобод человека и гражданина Оператор и его сотрудники при обработке персональных данных Пользователя обязаны соблюдать следующие общие требования.

5.3.1. При определении объема и содержания персональных данных Пользователя подлежащих обработке, сотрудники Оператора руководствуются Федеральным законом «О персональных данных», законодательством, регулирующим деятельность средств массовой информации. Оператор получает персональные данные Пользователя только в объеме, необходимом для достижения законных целей сбора и обработки персональных данных.

5.3.2. Сотрудники Оператора не должны обрабатывать не являющиеся общедоступными персональные данные Пользователя о его судимости, политических, религиозных и иных убеждениях и частной жизни.

5.4. Оператор обеспечивает защиту персональных данных Пользователя от неправомерного их использования или утраты в порядке, установленном федеральным законодательством.

5.5. В случае, если Оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

VI. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

6.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

6.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые Оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

6.5. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

6.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов.

VII. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных осуществляется Оператором исключительно для достижения целей, определенных настоящим положением.

7.2. Обработка персональных данных Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.

7.3. Обработка персональных данных ведется методом смешанной (в том числе автоматизированной) обработки.

7.4. К обработке персональных данных Пользователя могут иметь доступ только сотрудники Оператора, чьи должностные обязанности непосредственно связаны с доступом и работой с персональными данными Пользователя.

VIII. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

8.1. Сотрудники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

Положение об обработке персональных данных посетителей сайта

1. Общая информация

1.1. Настоящее Положение разработано и применяется Ассоциацией «Совет муниципальных образований Ханты-Мансийского автономного округа – Югры» (далее – Оператор, Ассоциация) в отношении официального сайта Оператора, размещенного в сети Интернет по адресу: http://msu-ugra.ru в соответствии с п.2 ст. статьи 18.1 Федерального закона от 27. 07.2006 №152-ФЗ «О персональных данных».

1.2. Положение определяет политику, порядок и условия обработки персональных данных Оператором, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области защиты персональных данных, устранение последствий таких нарушений, связанных с обработкой персональных данных и недопущение их впоследствии.

1.3. Обработка организована Оператором на принципах:

– законности и справедливости;

– обработки только персональных данных, которые отвечают целям их обработки;

– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

– недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;

– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.4. К персональным данным по смыслу настоящего Положения относятся: ФИО, пол, дата рождения, семейное положение, фотография, уровень образования, опыт работы, сведения о работе, статус, телефон, e-mail, а также иные данные о субъекте персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.5. Под субъектом персональных данных понимается физическое лицо, использующее сайт Оператора, либо зарегистрировавшееся на сайте Оператора, либо лицо, которое дало согласие на публичное размещение его персональных данных на сайте (далее «Пользователь»).

1.6. Согласие на размещение персональных данных может быть дано в любой форме, в том числе письменной форме, по электронной почте, принадлежащей Пользователю, либо путем совершения конклюдентных действий на сайте Оператора, выразившихся в регистрации на сайте Оператора или в его использовании.

2. Обработка персональных данных

2.1. Под обработкой персональных данных применительно к настоящему положению понимается размещение Оператором персональных данных Пользователя.

2.2. Все персональные данные, размещенные на сайте Оператора, размещены

Самими Пользователями, зарегистрировавшимися на сайте, либо Оператором, получившим последующее согласие от Пользователей на размещение и обработку персональных данных на сайте Оператора.

2.З. Факт регистрации или использования сайта Оператора означает полное безоговорочное согласие и принятие условий настоящего Положения.

2.4. Отсутствие каких-либо претензий или возражений в течение 15-ти дней с момента уведомления Пользователя о факте размещения его персональных данных на сайте Оператора и предоставления ему текста настоящего Положения, либо его прямое согласие на такое размещение, выраженное в переписке, осуществляемой с Оператором, свидетельствует о принятии условий настоящего Положения.

2.5. Целями и задачами размещения персональных данных являются: создание условий для идентификации Пользователей, сбор основных сведений о них, а также организация сетевого пространства для обеспечения возможного заключения сделок, обмена информацией, опытом.

2.6. Оператор обязан незамедлительно сообщить об утрате персональных данных Пользователю, а также в уполномоченный орган по защите прав субъектов персональных данных.

3. Доступ к персональным данным и хранение

3.1. Персональные данные, размещенные на сайте Оператора, являются закрытыми от неопределенного круга лиц (физических и юридических), посещающих сайт. Персональные данные могут быть переданы третьим лицам в целях выполнения поручений субъекта персональных данных, а также в случаях, когда это допускается законодательством РФ.

3.2. Персональные данные, указанные Пользователем при регистрации на сайте Оператора, могут быть доступны любым сотрудникам Оператора, а также иным лицам, которые в силу возложенных на них обязанностей должны обрабатывать персональные данные.

3.3. Хранение персональных данных осуществляется в виде электронных баз данных, при необходимости может осуществляться в форме бумажных документов.

4. Права пользователей

4.1. Каждый Пользователь вправе требовать удаления его персональных данных с сайта Оператора. Такое требование должно быть предоставлено в письменной форме, подпись заявителя подлежит нотариальному удостоверению. Оригинал нотариально заверенного письма необходимо предоставить в Ассоциацию «Совет муниципальных образований Ханты-Мансийского автономного округа – Югры».

4.2. Оператор обязуется удалить персональные данные Пользователя в течение 5 рабочих дней момента получения соответствующего требования от него.

4.3. Пользователь вправе вносить изменения в персональные данные, если это не нарушает частных и публичных интересов.

4.4. Каждый Пользователь вправе требовать от Оператора получения информации, касающейся обработки его персональных данных, уточнения персональных данных, их частичного изменения. Такое требование должно быть предоставлено в письменной форме, подпись отправителя подлежит нотариальному удостоверению. Оригинал нотариально заверенного письма необходимо предоставить в Ассоциацию.

5. Ответственность. Порядок разрешения споров.

5.1. Оператор и Пользователи несут ответственность за неисполнение или ненадлежащее исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.2. Оператор не несет ответственности за недостоверные данные, размещенные пользователями о себе.

5.3. Пользователь самостоятельно несет ответственность за размещение недостоверных данных о себе, введение в заблуждение третьих лиц относительно своей личности, сведений.

5.4. При возникновении споров Пользователь и Оператор стремятся к их разрешению путем переговоров.

5.5. При невозможности разрешения споров путем переговоров, они подлежат рассмотрению по месту нахождения Оператора.

6. Заключительные положения

6. 1. Настоящее Положение по своему правовой смыслу является публичной офертой, акцепт оферты возможен путем совершения конклюдентных действий, указанных пунктах 2.3 и 2.4 настоящего Положения.

6.2. Оператор вправе в одностороннем порядке изменить текст настоящего Положения. Все новые изменения будут распространяться на правоотношения, возникающие после внесения соответствующих изменений.

6.3. Во всем остальном, не урегулированном настоящим Положением, применению подлежит законодательство Российской Федерации, в том числе Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

7. Сведения об Операторе

7.1. Наименование: Ассоциация «Совет муниципальных образований Ханты-Мансийского автономного округа – Югры».

Адрес: 628011, Ханты-Мансийский автономный округ – Югра, город Ханты-Мансийск, ул. Мира, 14а, оф. 301.

ИНН 8601014362, КПП 860101001

ОГРН 1028600513523

7.2. Адрес электронной почты для вопросов, связанной с поддержкой Сайта, его работоспособностью [email protected] ru

Политика обработки персональных данных

Оглавление

  1. Общие положения
  2. Правовые основания обработки персональных данных
  3. Порядок и условия обработки персональных данных
  4. Права субъектов персональных данных
  5. Права и обязанности Оператора

1. Общие положения

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «Код Безопасности» (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

Политика действует бессрочно после утверждения и до ее замены новой версией.

В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 “О персональных данных”.

Обработка персональных данных Оператора осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

2. Правовые основания обработки персональных данных

Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании следующих документов:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
  • Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
  • Федеральный закон от 29.12.2012 N 273-ФЗ “Об образовании в Российской Федерации”;
  • Устав ООО «Код Безопасности».

3. Порядок и условия обработки персональных данных

Обработка персональных данных Оператором ведется смешанным способом, т.е. происходит как, с использованием средств автоматизации, так и без таковых.

Осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.

Получение и обработка персональных данных в случаях, предусмотренных ФЗ-152, осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.

Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:

  • цели, условия, сроки обработки персональных данных;
  • обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
  • права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

В случаях, явно не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

  • назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
  • издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
  • обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
  • ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
  • учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
  • резервное копирование информации для возможности восстановления;
  • осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных

Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом “О персональных данных”;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом “О персональных данных” или другими федеральными законами.

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона “О персональных данных” или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Права и обязанности Оператора

Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

Политика обработки персональных данных разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу [email protected] Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

Статья 9 Общего регламента ЕС по защите данных (EU-GDPR). Конфиденциальность / Privazy согласно плану.


=> Статья: 4
=> Сольный текст: 51, 52, 53, 54, 55, 56
=> административный штраф: ст. 83 (5) освещенный
1. Обработка личных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также обработка генетических данных, биометрических данных с целью однозначной идентификации физического лица данные о здоровье или данные о сексуальной жизни или сексуальной ориентации физического лица запрещены .
=> Статья: 6, 36
=> Подробный текст: 35, 91
=> Досье: Анонимизация

NEW : Практическое руководство PrivazyPlan ® объясняет все обязательства по защите данных и помогает вам соответствовать. Нажмите здесь!

2. Пункт 1 не применяется, если применяется одно из следующих условий:

(a) субъект данных дал явное согласие на обработку этих персональных данных для одной или нескольких указанных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что запрет, упомянутый в параграфе 1, не может быть отменен субъектом данных;
=> Статья: 22
=> Досье: Согласие, Вступительное положение, Разрешение, Цель (обязательная)
(b) обработка необходима для целей проведения обязанности и осуществление конкретных прав контролера или субъекта данных в области занятости, социального обеспечения и законодательства о социальной защите в той мере, в какой это разрешено законодательством Союза или государства-члена или коллективным договором в соответствии с законодательством государства-члена, предусматривающим соответствующие гарантии основных прав и интересов субъекта данных;
=> Досье: гарантия защиты данных, вступительная статья
(c) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, в отношении которого данные субъект физически или юридически неспособен дать согласие;
=> Досье: Согласие, Разрешение
(d) обработка осуществляется в ходе законной деятельности с соответствующими гарантиями со стороны фонда, ассоциации или любого другого не -коммерческая организация с политической, философской, религиозной или профсоюзной целью и при условии, что обработка касается исключительно членов или бывших членов организации или лиц, которые регулярно контактируют с ней в связи с ее целями и что личные данные не разглашаются за пределами этого органа без согласия субъектов данных;
=> Досье: Разрешение, Гарантия защиты данных, Согласие, Раскрытие
(f) обработка необходима для защиты судебных исков или когда суды действуют в своем судебном качестве;
=> Досье: Разрешение
(g) обработка необходима по причинам существенного общественного интереса , на основании законодательства Союза или государства-члена, которое должно быть соразмерным для преследуемой цели, уважать сущность права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав и интересов субъекта данных;
=> Артикул: 22
=> Досье: Вводная статья
(h) обработка необходима в целях профилактики или медицины труда, для оценки рабочих дееспособность сотрудника, медицинский диагноз, предоставление медицинской или социальной помощи или лечения, или управление системами здравоохранения или социальной помощи и услуг на основании законодательства Союза или государства-члена или в соответствии с контрактом с профессиональным медиком и при соблюдении условия и гарантии, указанные в параграфе 3;
=> Досье: вводная статья
(i) обработка необходима по причинам общественного интереса в области общественного здравоохранения, например, для защиты от серьезных трансграничных угроз здоровья или обеспечения высоких стандартов качества и безопасности медицинской помощи и лекарственных продуктов или медицинских устройств на основе законодательства Союза или государства-члена, которое предусматривает подходящие и конкретные меры для защиты прав и свобод субъекта данных, в частности профессиональная тайна;
=> Досье: профессиональная тайна, вступительное положение
(j) обработка необходима для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей в соответствии с со статьей 89 (1), основанной на законодательстве Союза или государства-члена, который должен быть соразмерен преследуемой цели, уважать сущность права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав и интересов субъекта данных .
=> Досье: Вступительное положение, привилегированные цели
3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда те данные обрабатываются профессиональным специалистом или под его ответственность в соответствии с обязательством сохранения профессиональной тайны в соответствии с законодательством Союза или государства-члена или правилами, установленными национальными компетентными органами, или другим лицом, также подлежащим обязательству сохранения конфиденциальности в соответствии с законодательством или правилами Союза или государства-члена. учреждены национальными компетентными органами.
=> Досье: Профессиональная тайна
4. Государства-члены могут поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья.
=> Досье: Вводная статья

Опубликованы правила обработки персональных данных и защиты конфиденциальности в секторе электронных коммуникаций – Конфиденциальность

Чтобы распечатать эту статью, вам нужно только зарегистрироваться или войти в систему на Mondaq.com.

Введение

Положение об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций («Регламент ») был опубликован в Официальный вестник от 4 декабря 2020 года за номером 31324.

Общая цель Регламента, по-видимому, заключается в обеспечении защита и конфиденциальность личных данных при общении сектора и регулирования процедур и принципов в отношении соответствующие обязательства операторов по защите данных, вытекающие из Закон об электронных коммуникациях (« ECL ») с номером 5809 и личный Закон о защите данных (« DPL ») пронумерован. 6698.

Положение подготовлено в соответствии с общими правила защиты персональных данных, установленные в ECL и DPL; хотя есть разногласия относительно положений Регламент, разрешающий предложение дополнительных «Бонусные» преимущества для получения явного согласия на обработка.

В качестве уполномоченного органа, ответственного за реализацию ECL, Регламент подготовлен и опубликован Управление информационных и коммуникационных технологий (« ICTA »), и в значительной степени были подготовлены таким образом, чтобы избежать дублирования с полномочия и компетенция Турецкой защиты личных данных Власть (« DPA »).

Меры технической и административной безопасности

Регламент определяет минимальные технические и административные меры, которые должны быть приняты операторами для обеспечения безопасности свои услуги и личные данные.

Эти меры перечислены как:

  • установление необходимых политик безопасности,
  • защита личных данных от утечки данных, таких как несанкционированный или незаконный доступ или повреждение, потеря или разглашение таких данных,
  • обеспечение безопасности систем хранения персональных данных.

Эти минимальные меры должны соответствовать всем требования, предъявляемые DPL и национальными и международными стандарты. Кроме того, Регламент гласит, что операторы должны реализовать такие меры в соответствии с подходом, основанным на оценке риска, в соответствие имеющимся технологическим разработкам.

Таким образом, очевидно, что ICTA ожидает, что операторы останутся в курсе отраслевых и технологических разработок. Это дополнительно усилено положением Регламента, которое разрешает ICTA запросить информацию и документацию о мерах реализованы операторами, и требовать внесения изменений в такие меры.

В дополнение к обязанности операторов уведомлять подписчиков и пользователей в ситуации утечки данных в соответствии с DPL, Регламент также вводит обязанность операторов уведомлять своих подписчиков и пользователей о любом возникновении риска, который угрожает их сетевой инфраструктуре или услугам.

Требования к явному согласию

В дополнение к общим требованиям DPL, ECL содержит положения, устанавливающие дополнительные принципы в отношении к режиму регулирования, применимому к обработке персональных данные по операторам.

Соответствующие положения ECL предусматривают ситуации, когда операторам не нужно получать согласие своих абонентов, таких как использование данных трафика для управления трафиком, обеспечивая подключения, рассмотрение жалоб клиентов и использование данные о местоположении для управления экстренными вызовами. Кроме таких целей, согласие подписчиков требуется для данных обработка, в частности, для обеспечения добавленной стоимости услуги электронной связи или маркетинговые электронные услуги связи.Постановление дополнительно разъясняет процедуры и принципы, применимые к обязательству по получению согласие.

Многие разъяснения, касающиеся условий требуется для законного получения явного согласия, отражающего положения DPL и последующие решения DPA. Такой разъяснения включают требование получить явное согласие перед любой обработкой, требующей такого согласия, и требование четко информировать подписчиков и пользователей о цель обработки до получения их согласия. В Регламент определяет, что операторы должны четко предоставлять подписчики и пользователи с информацией о конкретном местонахождении и данные трафика, которые будут использоваться для получения явных согласие.

Кроме того, Регламент также подтверждает позицию DPA что такое явное согласие не может быть обязательным в форме предварительное условие для установления отношений подписчика или для предоставления услуг электронной связи.

Важным нововведением в Регламенте является то, что он позволяет операторы запрашивать явное согласие от подписчиков и пользователей в качестве условие предоставления «дополнительных бонусов», таких как дополнительные минуты, SMS или данные. Пока подписчики и пользователи нельзя принуждать к явному согласию и принятию таких дополнительных бонусов, это положение подверглось критике как открыты для неправомерного использования операторами и предоставляют операторам связи сектор несправедливого конкурентного преимущества в получении явных согласие в маркетинговых целях.

Регламент также несколько отличается от DPL с положение, в котором говорится, что, если подписчики и пользователи не имеют запрошено иное, после прекращения подписки любое явное согласие, которое ранее было предоставлено подписчиком, или пользователь считается отозванным по состоянию на последнюю дату подписка.

Другая область, в которой Регламент расходится с DPL с относительно того, чтобы полагаться на явное согласие, с недавно введенным обязанность уведомлять подписчиков и пользователей, предоставивших явное согласие на выполняемые действия по обработке данных согласно такому согласию ежегодно в третьем квартале каждый год.В случае непредоставления уведомления потребуются операторы. приостановить обработку данных на основании такого явного согласия до уведомление было предоставлено.

Хотя и ECL, и Регламент предусматривают этот трафик и данные о местонахождении могут быть переданы за границу в соответствии с явным согласия, статья 5 (2) Регламента содержит положение, которое есть некоторое противоречие. Статья 5 (2) устанавливает принцип что, исходя из соображений национальной безопасности, дорожного движения и данные о местоположении должны оставаться в Турции.Однако, поскольку как ECL, так и Регламент содержит положения, допускающие такую ​​передачу за границей, по нашему мнению, статья 5 (2) не должна применяться трактуется как бланкетный запрет на передачу таких категорий данные. Вместо этого это может указывать на продолжение законодательного и нормативная тенденция в Турции к увеличению локализации данных. Включение такого принципа в Регламент может обеспечить будущее основание для ICTA издавать приказы, препятствующие передаче такие данные за границей основаны на соображениях национальной безопасности.

Согласие, полученное до принятия постановления

Временное положение Положения предусматривает такое согласие полученные законным путем до принятия Регламента, остаются в силе. Тем не мение, согласно Временному положению, обработка персональных данных для любой, чье явное согласие было ранее получено законным путем но которые впоследствии прекратили подписку на оператор должен прекратить действие в течение месяца с момента вступления в силу Регламента. эффект, если явное согласие на продолжение не было получено операторы.

Дополнительные требования

Регламент также предоставляет дополнительные права на неприкосновенность частной жизни для подписчиков и пользователей и стремится увеличить их участие и агентство в управлении их предпочтениями конфиденциальности.

Следовательно, Регламент требует, чтобы в ситуациях, когда операторы предоставляют опции фильтрации входящих вызовов, операторы должны также предоставьте вызывающему абоненту простой и бесплатный способ удержания их количество от получателя.В случае звонков, когда номер вызывающего абонента не разглашается, операторы могут разрешить соединение только в том случае, если подписчик-получатель или пользователь ранее предоставили свои согласие на прием вызовов с отклоненного номера.

Операторы также обязаны предоставлять абонентам и пользователям с правом предотвращать любые звонки, передаваемые третьими сторонами, и получить их согласие, прежде чем переводить их звонки на любой номер / система автоматических сообщений, в которой будет начисляться оплата.

Данная статья предназначена для ознакомления с общими сведениями. руководство по предмету. Следует обратиться за консультацией к специалисту. о ваших конкретных обстоятельствах.

Контроль и обработка персональных данных

Введение

г. Общие правила защиты данных (GDPR) вступили в силу в ЕС 25 мая 2018.

Данные Закон о защите 2018 г., который был подписан 24 мая 2018 г., дал дополнительные влияние на GDPR в областях, где государства-члены имеют гибкость (например, цифровой возраст согласия).

GDPR очень значительно увеличивает обязательства и ответственность для организаций и предприятий в том, как они собирают, используют и защищают личные данные. Организации и предприятия должны быть полностью прозрачными в отношении как они используют и защищают личные данные, и чтобы иметь возможность продемонстрировать ответственность за свою деятельность по обработке данных.

Определения защиты данных

Согласно GDPR, персональные данные – это данные, которые относятся или могут идентифицировать человека отдельно или вместе с другими доступными Информация. Личные данные могут включать ваше имя, адрес, контактные данные, идентификационный номер, IP-адрес, записи видеонаблюдения, карты доступа / теги, аудиовизуальные или аудиозаписи данных о человеке и местоположении.

Субъект данных – это физическое лицо, к которому относятся личные данные. Вы можете прочитать о правах субъектов данных в нашем документе Доступ к вашему личные данные в соответствии с GDPR.

Любые действия с вашими личными данными, в том числе их хранение, известны как обработка .

Известна организация или предприятие, которые решают, что делать с вашими данными. как контроллер . Однако эта организация может разрешить другому лицу или юридическое лицо для обработки ваших личных данных от своего имени. Человек, который обрабатывает информация от имени контроллера данных известна как процессор .

В этом документе изложены обязанности контроллеров и обработчиков данных. согласно GDPR.

Обязательства по защите данных

Обязанность законной обработки персональных данных

Организации могут использовать или хранить личные данные только при наличии законного причина. GDPR устанавливает шесть стандартных законных причин, которые могут быть использованы организация:

  • Вы дали свое свободное и осознанное согласие.
  • Обработка необходима для выполнения контракта, стороной которого вы являетесь. к, например, доставка товара
  • Обработка необходима контроллеру для соблюдения обязательство, такое как обязательный сбор данных для защиты от денег отмывание доходов или налогообложение
  • Обработка необходима для защиты ваших жизненно важных интересов или жизненно важных интерес другого лица, например, доступ к медицинским записям в аварийная ситуация
  • Обработка необходима для выполнения задачи, выполняемой в общественные интересы или когда контролер имеет официальные полномочия, такие как обработка общественной безопасности
  • Обработка необходима в законных интересах обработки организации, если это не противоречит вашим правам, например, чтобы предотвратить мошенничество

Вы должны получить достаточно информации простым и понятным языком, чтобы знать что организация собирается делать с вашими личными данными. Это часто можно найти в политиках конфиденциальности на веб-сайтах или в формах, которые вы можете прочитать или войти в систему человек.

Обязательство по разработке и эксплуатации соответствующих систем обработки

GDPR ввел концепцию защиты данных по дизайну и защита данных по умолчанию .

Защита данных с помощью дизайна означает, что меры защиты данных должны быть включены когда любая система проектируется контроллером. В результате шансы уменьшаются непреднамеренные нарушения законодательства о защите данных.

Защита данных по умолчанию означает, что системы должны быть настроены как данные дружественная защита. Это должно означать, что единственные необходимые персональные данные собраны, что они хранятся в течение минимально необходимого периода и что лицо не включается автоматически для какой-либо ненужной обработки.

Контроллеры

могут подать заявку на сертификацию в Ирландии в Службу защиты данных. Комиссия, которая продемонстрирует, что их процессы разработаны с учетом с Положением.

Обязанность использовать процессоры, отвечающие требованиям законодательство

Если обработка должна выполняться процессором, а не контроллером, контроллер должен использовать только те процессоры, которые гарантируют, что их системы обработки соответствуют требованиям Положения.

Примеры его характера обработчиков включают зарплатные компании, бухгалтеров и компании по исследованию рынка, каждая из которых может хранить или обрабатывать личные информация от имени другого лица. Облачные провайдеры являются также обычно обработчики данных.

Контроллер должен иметь контракт с процессором, определяющий объем обработки, требуемой контролером, и обязательств обработчика в соответствии с Регламентом. Процессор не может передать эту обработку другому процессор без согласия контролера и аналогичный договор, согласованный с тот второй процессор.

Процессоры должны соблюдать любой соответствующий кодекс поведения, который может быть подготовлен. Комиссией по защите данных. Процессоры также могут получить сертификацию демонстрируя свое соответствие Регламенту.

Обязанность вести учет

Согласно GDPR, любой контролер, в котором работает более 250 сотрудников, или который обрабатывает конфиденциальную информацию, должен вести учет обработки деятельность под его ответственность.

Эта запись должна состоять из:

  • Название и контактные данные контролера
  • Цели обработки
  • Описание категорий субъектов данных и персональных данных
  • Категории получателей данных
  • Любая передача данных в третьи страны и данные этой страны гарантии
  • Срок стирания данных
  • Описание действующих мер защиты данных

Процессоры должны вести аналогичный учет.Эти записи могут быть проверены Комиссия по защите данных по запросу.

Обязательство по обеспечению безопасности данных

Контроллеры и процессоры обязаны обеспечивать безопасность личных данных. Они также должны гарантировать, что любые сотрудники не имеют доступа к каким-либо данным и не обрабатывают их. если они не обязаны это делать. Согласно GDPR, контроллеры и процессоры необходимо рассмотреть возможность внедрения современных мер безопасности, соответствующих рискам участвует в их деятельности. Например, риск может исходить от случайного или незаконное уничтожение хранимых данных или несанкционированное раскрытие, доступ или изменение.

Меры безопасности могут включать анонимизацию или шифрование данных и восстановление или резервное копирование сохраненных данных. Контроллеры и процессоры должны регулярно проверять и оценивать меры безопасности, а также учитывать данные безопасность при утилизации оборудования.

Обязанность сообщать о нарушениях данных

Согласно GDPR, контролер должен уведомить Комиссию по защите данных о безотлагательное нарушение личных данных, если такое нарушение может привести к риск для прав и свобод субъекта данных. Уведомление должно быть сделал. самое позднее, в течение 72 часов после того, как диспетчер узнает о нарушение. Обработчики данных должны уведомить соответствующие контроллеры, если процессор становится известно о нарушении. Затем контролер должен уведомить субъекта данных без задержки.

Контроллер также должен незамедлительно уведомить субъекта данных в ясной и простым языком, если утечка данных может привести к высокому риску права и свободы субъекта данных. Пример ситуации повышенного риска будет там, где украдены ваши банковские реквизиты.

Обязанность проводить оценку воздействия на защиту данных

Согласно GDPR, когда контролер намеревается выполнить обработку с высокой степенью риска, они должны сначала провести оценку воздействия на защиту данных (DPIA). Данные Комиссия по защите опубликовала список операций по обработке данных, которые требуется DPIA.

Эти процессы включают обработку с использованием новых технологий, профилирование и автоматизированная обработка принятия решений, обработка большого количества конфиденциальных личные данные или систематический мониторинг общедоступной области.

Оценка воздействия на защиту данных должна включать:

  • Описание обработки и назначения
  • Оценка необходимости обработки
  • Оценка рисков для прав и свобод данных предметы
  • Меры по устранению рисков

Контроллер может проконсультироваться с Комиссией по защите данных, которая может дать совет контролеру. Комиссия по защите данных опубликовала подробное руководство для диспетчеров о том, как и когда проводить DPIA.

Контроллер должен провести проверку после начала обработки убедитесь, что это выполняется в соответствии с оценкой воздействия на данные, которая была выполненный.

Контроллер также должен проконсультироваться с отделом защиты данных. офицер.

Обязанность назначать сотрудников по защите данных (DPO)

Согласно GDPR, сотрудники по защите данных должны назначаться контролерами. и процессоры, основная деятельность которых заключается в обработке, требующей регулярный и систематический мониторинг субъектов данных в крупном масштабе или особые категории личных данных или данных, касающихся судимости и правонарушения.

Сотрудники по защите данных:

  • Должен быть назначен на основании профессиональных качеств и, в в частности, экспертные знания в области законодательства и практики защиты данных
  • Может быть штатным сотрудником или сторонним поставщиком услуг
  • Необходимо предоставить контактные данные Комиссии по защите данных
  • Должны быть обеспечены соответствующими ресурсами для выполнения своих задач и поддерживать свои экспертные знания
  • Должны подчиняться непосредственно высшему руководству в своих организация
  • Запрещается выполнять какие-либо другие задачи, которые могут привести к конфликту проценты

DPO должны участвовать во всех вопросах защиты данных и иметь ресурсы для выполнения своих задач.

Вы можете связаться с DPO организации по любым вопросам, касающимся вашего личные данные, хранящиеся в этой организации.

Задачи DPO:

  • Информируйте свою организацию о защите данных и проконсультируйте ее. обязательства
  • Следить за соблюдением своей организацией GDPR и любых национальных Закон о защите данных
  • Консультации по оценке и мониторингу воздействия на защиту данных производительность
  • Связь с надзорным органом

Комиссия по защите данных опубликовала подробное руководство о соответствующей квалификации для DPO.

Обязательство соблюдать нормы поведения и сертификации

Ассоциации и другие органы, представляющие контроллеров и процессоров, могут подготовить свод правил, в которых будет указано, каким должен быть GDPR. применяемый. Эти органы должны представить свои проекты кодексов поведения в Data Комиссия по охране на согласование.

В целях повышения прозрачности и соблюдения настоящего Регламента GDPR представит механизмы сертификации и знаки защиты данных, позволяя субъектам данных быстро оценить уровень защиты данных соответствующие продукты и услуги.Список сертифицированных организаций будет общедоступный.

Кодексы поведения

и утвержденные механизмы сертификации также помогут контролеры при выявлении рисков, связанных с их типом обработки и в соблюдении передовой практики.

Соблюдение утвержденного кодекса поведения или утвержденной сертификации механизм может использоваться как элемент для демонстрации соответствия обязательства контролера или процессора в соответствии с GDPR.

Обязательства, связанные с передачей данных за пределы ЕС

Любая передача личных данных за пределы ЕС или в международную организация будет строго регулироваться GDPR.Регламент также применяется к любой последующей передаче персональных данных из одного государства, не являющегося членом ЕС, в Другая.

Такая передача личных данных может иметь место, если европейские Комиссия решила, что государство, не являющееся членом ЕС, или деловой сектор в пределах в этой стране действует адекватный уровень защиты данных. Решая, если есть адекватная защита, Комиссия рассмотрит законы этой страны, уважение прав человека, наличие какого-либо органа по защите данных и международные обязательства, принятые страной в отношении персональных данных. После принятия решения о том, имеет ли страна или сектор адекватная защита данных, Комиссия продолжит наблюдение за этой страной с точки зрения ее данных. методы защиты.

Комиссия публикует список всех таких одобренных стран, секторов и международные организации.

Если контроллер или процессор хочет передать данные в неутверждено страна, сектор или международная организация, которая контроллер или процессор должны обеспечивать соответствующие меры безопасности и гарантировать, что любые субъекты данных по-прежнему смогут осуществлять свои права.

Передача данных в Великобританию

До окончания переходного периода любая полученная личная информация любой компанией или организацией в Великобритании от компаний и администраций в другие государства-члены подпадали под действие GDPR.

Передача личных данных в Великобританию по-прежнему разрешена на основании официального решения (так называемого решения об адекватности), принятого Европейским Комиссия состоится 28 июня 2021 г. Это решение о достаточности останется в силе в течение четыре года, если Великобритания не внесет изменений в свое законодательство о защите данных.

Надзор и контроль

Независимые надзорные органы

Согласно GDPR, каждое государство-член ЕС должно иметь один или несколько независимых государственные органы, ответственные за мониторинг применения Регулирование. В Ирландии таким надзорным органом является Служба защиты данных. Комиссия.

Комиссия по защите данных:

  • Контролирует и обеспечивает выполнение GDPR
  • Повышает осведомленность общественности о правилах и правах в отношении данных обработка
  • Консультирует правительство по вопросам защиты данных
  • Повышает осведомленность контроллеров и процессоров о своих обязательства
  • Предоставляет физическим лицам информацию об их защите данных. права
  • Поддерживает список операций обработки, требующих защиты данных оценка воздействия
  • Рассматривает жалобы и проводит расследования, связанные с соблюдением Закон о защите данных

Комиссия по защите данных имеет право приказать любому контролеру или процессор для предоставления информации, которая требуется органу для оценки соблюдение Регламента. Может проводить расследования в отношении контроллеров. и процессоры в форме аудита данных, включая доступ к помещениям контроллер или процессор. Он может приказать контроллеру или процессору заменить их процессы соответствуют запросам субъектов данных. Защита данных Комиссия также может выдавать предупреждения контроллерам и процессорам и может запретить обработки, а также начать судебное разбирательство против контролера или процессор.

Организации, занимающиеся трансграничной обработкой персональных данных может иметь дело с одним ведущим надзорным органом, одним остановить магазин (OSS) для большей части своей обработки.

Европейский совет по защите данных

GDPR ввел новый европейский надзорный орган по защите данных. Европейские данные Совет по защите (EDPB) отвечает за соблюдение GDPR. последовательно по всему Европейскому Союзу. Он будет издавать руководящие принципы и рекомендации по применению Положения. Он также посоветует Комиссия ЕС о применении Регламента и любых обновлениях, которые могут быть обязательный.

EDPB состоит из главы одного надзорного органа каждого члена государство и европейский надзорный орган по защите данных или их представители.

Штрафы

Штрафы применяются как к контроллерам, так и к процессорам, которые нарушают Регулирование. Существуют разные наказания, в зависимости от серьезности нарушение.

Серьезные нарушения

На самые серьезные нарушения (например, не имея достаточного согласие клиента на обработку данных или намеренное нарушение основных принципов конфиденциальности концепции) организации могут быть оштрафованы на сумму до 4% от их годового глобального оборота. или 20 миллионов евро, в зависимости от того, что больше.

Мелкие нарушения

Согласно GDPR, организации, нарушившие Регламент, могут быть оштрафованы на сумму до 2% от их годового мирового оборота или 10 миллионов евро, в зависимости от того, что больше, для меньшие нарушения. Некоторые примеры меньших нарушений включают: отсутствие записей для того, чтобы не уведомлять надзорный орган и субъект данных о нарушение или непроведение оценки воздействия.

Дополнительная информация

Более подробная информация о GDPR по защите данных.т.е.

Комиссия по защите данных

21 Fitzwilliam Square South,
Дублин 2,
D02 RD28
Ирландия

Часы работы: 09:15 – 17:30 пн – чт, 09: 15-17: 15 пятница

Тел .: +353 57 868 4800 / +353 0761 104800

Что такое GDPR? Краткое руководство по соблюдению GDPR в UK

GDPR не говорит о том, как выглядят передовые методы безопасности, поскольку они разные для каждой организации.Банку придется защищать информацию более надежно, чем это может понадобиться местному стоматологу. Однако в целом необходимо ввести надлежащий контроль доступа к информации, веб-сайты должны быть зашифрованы, а псевдонимизация поощряется.

«Ваши меры кибербезопасности должны соответствовать размеру и использованию вашей сети и информационных систем», – говорится в сообщении ICO. Если происходит утечка данных, регулирующие органы по защите данных будут рассматривать настройки информационной безопасности компании при определении любых штрафов, которые могут быть наложены.Cathay Pacific Airways была оштрафована на 500 000 фунтов стерлингов в соответствии с законами, действующими до принятия GDPR, за раскрытие 111 578 личных данных своих британских клиентов. Было сказано, что авиакомпания имеет «элементарные недостатки безопасности» в своей структуре.

[h4] Подотчетность / h4]

Подотчетность – единственный новый принцип GDPR – он был добавлен для того, чтобы компании могли доказать, что они работают над соблюдением других принципов, составляющих регулирование. Проще говоря, подотчетность может означать документирование того, как обрабатываются личные данные, и шаги, предпринятые для обеспечения того, чтобы только люди, которым необходимо получить доступ к некоторой информации, могли это сделать.Подотчетность также может включать обучение персонала мерам защиты данных и регулярной оценке и обработке данных.

Об «уничтожении, потере, изменении, несанкционированном раскрытии или доступе» к данным людей необходимо сообщать в регулирующий орган страны, где это может иметь пагубные последствия для тех, кому они посвящены. Это может включать, помимо прочего, финансовые убытки, нарушение конфиденциальности, ущерб репутации и многое другое. В Великобритании ICO должно быть проинформировано об утечке данных через 72 часа после того, как организация узнает об этом.Организация также должна сообщить людям о последствиях взлома.

Компаниям, в которых работает более 250 сотрудников, необходима документация о том, почему люди собирают и обрабатывают информацию, описание информации, которая хранится, как долго она хранится, а также описание применяемых технических мер безопасности. Статья 30 GDPR гласит, что большинству организаций необходимо вести записи об обработке своих данных, о том, как данные передаются, а также хранятся.

Кроме того, организации, которые проводят «регулярный и систематический мониторинг» людей в крупных масштабах или обрабатывают большое количество конфиденциальных личных данных, должны нанять сотрудника по защите данных (DPO). Для многих организаций, подпадающих под действие GDPR, это может означать необходимость найма нового сотрудника, хотя в крупных компаниях и государственных органах уже могут быть люди в этой роли. На этой должности человек должен отчитываться перед старшими сотрудниками, следить за соблюдением GDPR и быть контактным лицом для сотрудников и клиентов.

Принцип подотчетности также может иметь решающее значение, если в отношении организации проводится расследование на предмет возможного нарушения одного из принципов GDPR. Наличие точного учета всех действующих систем, способов обработки информации и мер, принимаемых для устранения ошибок, поможет организации доказать регулирующим органам, что она серьезно относится к своим обязательствам по GDPR.

Какие у меня права GDPR?

Хотя GDPR, возможно, наносит наибольший урон контроллерам и обработчикам данных, законодательство призвано помочь защитить права людей. Таким образом, GDPR предусматривает восемь прав. Они варьируются от предоставления людям более легкого доступа к данным, которые компании хранят о них, и до их удаления в некоторых сценариях.

Полные права GDPR для физических лиц: право на получение информации, право доступа, право на исправление, право на удаление, право на ограничение обработки, право на переносимость данных, право на возражение, а также права вокруг автоматизированного принятия решений и профилирования.

Общий регламент по защите данных (GDPR)

Последнее обновление: 25 сентября 2020 г., чтобы отразить решение Европейского суда по делу Schrems II.

Обзор новых законов о конфиденциальности и защите данных, которые вступают в силу 25 мая 2018 г., и несколько передовых методов обеспечения соответствия GDPR

GDPR – самое важное изменение в регулировании конфиденциальности данных за последние десятилетия. Компании работают над внесением радикальных изменений в свои системы и контракты, и те, кто работает на совместимых платформах, заботящихся о конфиденциальности, имеют преимущество.Это руководство направлено на то, чтобы помочь нашим пользователям понять широко распространенные последствия GDPR, возможности, которые он предоставляет для улучшения обработки данных, и то, как стать и оставаться в соответствии с GDPR.

Мелкий шрифт: это руководство GDPR предназначено только для информационных целей. Это не юридическая консультация. Обратитесь к своему юрисконсульту, чтобы получить подробные инструкции о том, как GDPR может повлиять на ваш бизнес.

Общий регламент по защите данных (GDPR) – это новый закон о конфиденциальности и защите данных, действующий в масштабах всего ЕС.Он требует более детальных мер защиты конфиденциальности в системах организации, более детальных соглашений о защите данных и более удобного для потребителя и подробного раскрытия информации о методах обеспечения конфиденциальности и защиты данных в организации.

GDPR заменяет действующую правовую базу ЕС по защите данных с 1995 года (широко известную как «Директива о защите данных»). Директива о защите данных потребовала переноса в национальное законодательство стран-членов ЕС, что привело к фрагментированному правовому ландшафту ЕС о защите данных.GDPR – это постановление ЕС, имеющее прямую юридическую силу во всех государствах-членах ЕС, то есть его не нужно переносить в национальный закон государств-членов ЕС, чтобы он стал обязательным. Это повысит последовательность и гармоничное применение закона в ЕС.

В отличие от Директивы о защите данных, GDPR актуален для любой компании, работающей по всему миру, а не только для компаний, расположенных в ЕС. Согласно GDPR, организации могут входить в сферу действия, если (i) организация учреждена в ЕС или (ii) организация не учреждена в ЕС, но действия по обработке данных относятся к физическим лицам из ЕС и связаны с предложением товары и услуги для них или мониторинг их поведения.

GDPR определяет, как организации могут обрабатывать персональные данные физических лиц из ЕС. Термины «персональные данные» и «обработка» часто используются в законодательстве, и понимание их конкретного значения в соответствии с GDPR проливает свет на истинный охват этого закона:

  • Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому лицу. Это очень широкое понятие, поскольку оно включает любую информацию, которая может использоваться сама по себе или в сочетании с другими частями информации для идентификации человека. Личные данные – это не просто имя или адрес электронной почты человека. Он также может включать в себя такую ​​информацию, как финансовая информация или даже, в некоторых случаях, IP-адрес. Более того, некоторым категориям персональных данных предоставляется более высокий уровень защиты данных из-за их конфиденциального характера. Эти категории данных включают информацию о расовом и этническом происхождении человека, политических взглядах, религиозных и философских убеждениях, членстве в профсоюзе, генетические данные, биометрические данные, данные о здоровье, информацию о сексуальной жизни или сексуальной ориентации человека, а также сведения о судимости.

  • Обработка персональных данных – ключевая деятельность, которая вызывает обязательства по GDPR. Обработка означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, используются ли автоматизированные средства, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения. На практике это означает, что любой процесс, в ходе которого хранятся или используются личные данные, считается обработкой.

Согласно закону ЕС о защите данных, существует два типа субъектов, которые могут обрабатывать персональные данные: контролеры данных и обработчики данных.

Контроллер данных («контролер») – это лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Процессор данных («процессор») – это объект, который обрабатывает персональных данных от имени контроллера.

Важно определить, является ли организация, обрабатывающая персональные данные для каждого действия по обработке данных, контроллером или процессором. Такое сопоставление позволяет организации понять, какие права и обязанности связаны с каждой из ее операций по обработке данных.

Stripe выполняет определенные действия по обработке данных, для которых он действует как контроллер данных, и другие, для которых он действует как обработчик данных. Хорошей иллюстрацией этой двойной роли является обработка транзакций по кредитным картам в Stripe.Содействие транзакции требует обработки личных данных, таких как имя держателя карты, номер кредитной карты, срок действия кредитной карты и код CVC. Данные держателя карты отправляются пользователем Stripe в Stripe через Stripe API (или каким-либо другим методом интеграции, например Stripe Elements). Затем Stripe использует данные для завершения транзакции в системах сетей кредитных карт, что является функцией, которую Stripe выполняет как процессор данных. Однако Stripe также использует данные для соблюдения своих нормативных обязательств (таких как «Знай своего клиента» («KYC») и «Борьба с отмыванием денег» («AML»)), и в этой роли Stripe является контролером данных.

Следующее соображение – определить, соответствует ли конкретная обработка данных требованиям GDPR. Согласно GDPR, каждая деятельность по обработке данных, выполняемая в качестве контроллера или процессора, должна осуществляться на законной основе. GDPR признает в общей сложности шесть правовых оснований для обработки персональных данных физических лиц из ЕС (в GDPR лица из ЕС называются «субъектами данных»). Эти шесть правовых основ в порядке ст. 6 (1) (a) – (f) GDPR:

  1. Субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

  2. Обработка необходима для выполнения договора , стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора;

  3. Обработка необходима для соответствия юридическому обязательству , которому подчиняется контролер;

  4. Обработка необходима для защиты жизненно важных интересов субъекта данных;

  5. Обработка данных необходима для выполнения задачи, выполняемой в рамках общественных интересов или осуществления официальных полномочий ; или

  6. Обработка необходима для законных интересов , преследуемых организацией, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных.

Между списком разрешенной обработки GDPR и списком, содержащимся в Директиве о защите данных, есть общие черты. Однако есть и существенные расхождения.

Наиболее часто обсуждаемое изменение GDPR по сравнению с Директивой о защите данных – это ужесточение требований к согласию (пункт 1 в приведенном выше списке). Требования к согласию GDPR включают в себя такие элементы, как (i) требование о том, чтобы согласие было проверяемым, (ii) запрос согласия должен четко отличаться от других вопросов, и (iii) субъекты данных должны быть проинформированы о своем праве отозвать согласие.Также важно помнить, что в отношении обработки конфиденциальных данных налагается еще более высокое требование согласия («явное согласие»).

Еще один важный элемент, который следует выделить, – это элемент законного интереса (пункт 6 в приведенном выше списке). Опираясь на «законный интерес» в качестве поддержки обработки персональных данных, организация должна знать о требовании проверки баланса, связанном с этой правовой основой. Чтобы соответствовать принципу подотчетности в соответствии с GDPR, организация должна задокументировать свое соответствие тесту балансировки, который включает ее подход и аргументы, которые она рассмотрела перед тем, как сделать вывод о том, что тест балансировки был удовлетворен.

Согласно Директиве о защите данных, физическим лицам были гарантированы определенные основные права в отношении их личных данных. Права физических лиц продолжают применяться в соответствии с GDPR с некоторыми уточняющими поправками. В приведенной ниже таблице сравниваются права отдельных лиц в соответствии с Директивой о защите данных и GDPR.

Право физического лица Директива о защите данных GDPR
Запрос на доступ к субъекту данных Физические лица имеют право знать, обрабатываются ли их личные данные, какие и как обрабатываются личные данные о них и каковы операции по обработке данных. Объем этого права был расширен в соответствии с GDPR. Например, при запросе доступа люди должны получить дополнительную информацию, включая информацию о своих дополнительных правах на защиту данных в соответствии с GDPR, которых раньше не было, например о праве на переносимость данных.
Право на объект Физическое лицо может запретить определенные операции по обработке данных, если у него есть веские законные основания.Физические лица также могут возражать против обработки своих личных данных в целях прямого маркетинга. GDPR расширил объем этого права по сравнению с Директивой о защите данных.
Право на исправление или стирание Физические лица могут запросить заполнение неполных данных или исправление неверных данных, чтобы обеспечить соответствие обработки личных данных применимым принципам защиты данных. Позиция GDPR по существу аналогична Директиве о защите данных, но некоторые процедурные меры защиты усилены в соответствии с GDPR.
Право на ограничение Нет права ограничивать обработку. Однако Директива о защите данных предоставляет физическим лицам право требовать блокировки их личных данных, если операции обработки не соответствуют принципам защиты данных, например, когда данные являются неполными или неточными. GDPR предлагает физическим лицам право требовать ограничения обработки их персональных данных при определенных обстоятельствах, в том числе в тех случаях, когда физическое лицо оспаривает точность данных.
Право на удаление («право на забвение») Физические лица имеют право требовать удаления своих личных данных, если операции обработки не соответствовали принципам защиты данных. Следовательно, это право очень узкое. GDPR значительно расширил это право. Например, право на удаление может быть реализовано, когда личные данные больше не нужны в связи с целями, для которых они были собраны, или если физическое лицо отзывает согласие на обработку, и никакая другая правовая основа не поддерживает продолжение обработки.
Право на переносимость данных Директива о защите данных прямо не упоминает «переносимость данных» как право субъекта данных.Законы государств-членов ЕС могли реализовать дополнительные права, аналогичные праву на переносимость данных на национальном уровне. Физические лица могут потребовать, чтобы личные данные, хранящиеся у одного контроллера данных, были предоставлены им или другому контроллеру.

Тема международных потоков данных была горячей темой в последние годы, и в этой области ведутся серьезные дебаты и реформа законодательства. Также почти наверняка то, что законы, регулирующие международные потоки данных, в ближайшие годы продолжат развиваться.Сегодня, согласно закону ЕС о защите данных, перед тем, как личные данные физических лиц из ЕС могут быть переданы за пределы ЕС, должны быть выполнены определенные требования, если только организация, получающая личные данные, не находится в разрешенной юрисдикции (см. Здесь разрешенные юрисдикции).

Согласно GDPR, управление международной передачей данных является сложной задачей, поскольку закон продолжает развиваться, а доступных механизмов передачи данных очень мало. Несмотря на то, что это непростая задача, организациям необходимо быть в курсе последних событий, потому что соответствующий поток персональных данных является основой любой технологической компании.

Мы больше не полагаемся на Privacy Shield как на механизм передачи данных, учитывая, что ЕС-США. Privacy Shield и Швейцарско-США. Privacy Shield более действителен в результате решения Schrems II, вынесенного Европейским судом 16 июля 2020 года. Мы продолжаем придерживаться принципов структуры Privacy Shield, поскольку она по-прежнему может обеспечивать защиту конфиденциальности для пользователей. По этой причине мы продолжаем ссылаться на Privacy Shield в политиках и соглашениях.

В более общем плане Stripe принимает меры по обеспечению соблюдения международных требований к передаче данных, которые регулируют обработку всеми глобальными организациями Stripe личных данных физических лиц из ЕС.Эти меры основаны на Стандартных договорных положениях ЕС (SCC).

Как отмечалось выше, международные потоки данных продолжают оставаться областью потенциальной будущей реформы законодательства. По этой причине мы очень внимательно следим за развитием законодательства, касающимся международных мер по соблюдению требований к передаче данных, и принимаем все доступные нам меры для обеспечения соответствующей международной передачи личных данных субъектов данных из ЕС. Это также означает, что мы в максимально возможной степени внедрили избыточность в нашу программу соответствия передачи данных и стремимся расширить их с помощью инструментов, доступных для Stripe в соответствии с GDPR.

Наиболее часто упоминаемым последствием несоблюдения GDPR является максимальный штраф, который может быть наложен на несоответствующую организацию. Максимальный штраф, который может взиматься, составляет 4% от глобального дохода или 20 миллионов евро, в зависимости от того, что больше. Некоторые другие виды нарушений влекут за собой максимальный штраф в размере 2% от общемирового дохода или 10 миллионов евро, в зависимости от того, какая сумма больше.

Реже упоминаются полномочия органов по защите данных (DPA) в соответствии со ст. 58 GDPR.Эти полномочия включают в себя способность DPA вводить корректирующие действия, такие как временное или окончательное ограничение деятельности по обработке данных, включая полный запрет на обработку данных, или отдавать приказ о приостановке потоков данных получателю в третьей стране.

В Stripe конфиденциальность, защита данных и безопасность данных лежат в основе всего, что мы делаем. Мы постоянно работаем над тем, чтобы сбросить планку для себя в сфере безопасности и конфиденциальности данных, и рассматриваем GDPR как возможность для всей отрасли собраться вместе и улучшить ситуацию.

Stripe начала свои усилия по обеспечению соответствия GDPR еще в 2016 году, и мы работаем над тем, чтобы наши услуги соответствовали GDPR с даты вступления в силу 25 мая 2018 года. Соответствие

GDPR состоит из множества элементов. Среди прочего, мы обновляем нашу документацию и соглашения, чтобы привести их в соответствие с требованиями GDPR. Мы также пересматриваем наши внутренние политики и процедуры, чтобы обеспечить их соответствие стандарту GDPR.

Большинство элементов соответствия GDPR находятся «под капотом» организации, поскольку они связаны с обновлениями того, как организация обрабатывает личные данные.Вот некоторые из шагов, которые платформы, такие как Stripe, выполняют для своих пользователей (и самих себя) в ожидании GDPR:

  • Проведите анализ расхождений между требованиями, налагаемыми Директивой о защите данных и GDPR, применительно к бизнес-операциям компании.

  • При необходимости пересматривайте и обновляйте внутренние инструменты, процедуры и политики.

  • Пересмотреть методы сопоставления данных и инвентаризации данных и, при необходимости, обновить их в соответствии с обязательствами по хранению записей в соответствии с GDPR.

  • Выполните специальный анализ пробелов в инструментах проверки конфиденциальности и защиты данных для соответствия требованиям оценки воздействия на защиту данных.

  • Обновленный подход к международной передаче данных.

  • Обновить контракты, чтобы отразить ст. 28 GDPR, поскольку они относятся к договаривающимся сторонам компании.

  • Изучать и, при необходимости, пересматривать отношения с поставщиками в соответствии с требованиями GDPR, чтобы гарантировать, что эти третьи стороны получают и обрабатывают личные данные законным способом.

  • Обновите Программу соблюдения конфиденциальности компании, включив в нее непрерывное обучение сотрудников, чтобы отразить изменения, которые должны быть внесены в GDPR.

Пользователи

Stripe должны проконсультироваться со своими юристами, чтобы понять полный объем своих обязательств по соблюдению GDPR. Как правило, если вы являетесь организацией, учрежденной в ЕС, или если ваша организация обрабатывает личные данные физических лиц из ЕС, к вам будет применяться GDPR.

Один из важнейших принципов GDPR, о котором следует помнить, – это принцип подотчетности. Принцип подотчетности гласит, что контролер данных должен иметь возможность продемонстрировать, что его действия по обработке данных соответствуют принципам защиты данных, изложенным в GDPR. Самый простой способ продемонстрировать соответствие – это задокументировать и сообщить о своем подходе к соблюдению GDPR.

В Stripe соблюдение нормативных требований стало результатом совместных усилий многих людей в нашей организации, включая пользовательские операции, продажи, инжиниринг, безопасность и юридический отдел.По нашему опыту, межфункциональные партнерские отношения и легкая для чтения документация невероятно полезны для общего процесса соблюдения GDPR.

Поскольку до 25 мая 2018 года осталось несколько недель, малые и средние организации могут столкнуться с особыми проблемами при подготовке к GDPR. Имея это в виду, мы собрали некоторые ключевые элементы программы соответствия GDPR в контрольный список для пользователей.

Будьте на одной странице : вместе со своими коллегами по технической поддержке, поддержке клиентов и юристам познакомьте друг друга с тем, что такое GDPR и как он влияет на вашу организацию.

Получите четкое представление о том, что происходит с личными данными в вашей организации : упражнение по сопоставлению данных может помочь вам выяснить, как личные данные хранятся и обрабатываются вашими системами. Следующие вопросы могут помочь вам:

  • Какие категории персональных данных вы обрабатываете? (например, финансовая информация, медицинская информация, маркетинговая информация и т. д.)
  • Для каких категорий лиц вы обрабатываете персональные данные? (е. г., картодержатели, дети, пациенты и др.)
  • По какой причине обрабатывается эта информация?
  • Как и почему вы собирали эту информацию?
  • Как вы защищаете эти данные?
  • Получают ли эту информацию третьи лица? Если да, раскрываете ли вы таких сторонних получателей в своей Политике конфиденциальности или других формах уведомления? Вы знаете, кто эти третьи стороны? Как долго вы храните информацию о физических лицах?

Отображение юридических оснований : ознакомьтесь с 6 юридическими основами, упомянутыми выше.Для каждой операции обработки, указанной в вашей карте данных, свяжите ее с правовым основанием. Это соединение даст вам карту правовой основы.

Знать, как соблюдать права физического лица:

  • Иметь возможность использовать информацию из сопоставления данных для ответа на запрос доступа к данным.
  • Из карты данных узнайте, где личные данные находятся в вашей системе (и имеют перекрестные ссылки с другими системами), чтобы выполнить запросы на отказ, модификацию и удаление.
  • Узнайте, какие форматы данных используются в ваших системах, и выясните, как вы собираетесь отвечать на запросы о переносимости данных.

Нарушение данных и реагирование на инциденты: Когда вы разговариваете со своими коллегами по технической части / безопасности организации, убедитесь, что вы знаете свой план реагирования на инциденты. Выполните несколько настольных упражнений, чтобы все, кто участвует в реагировании на инциденты, знали, что делать в случае инцидента безопасности. В идеале ваша группа реагирования на инциденты представляет собой отлаженную машину, готовую выполнять планы реагирования на инциденты, когда возникает ситуация.

В этот контрольный список можно добавить еще много элементов, и вам нужно будет поработать со своими внутренними экспертами и внешними консультантами, чтобы составить список, адаптированный к вашим потребностям. Например, вам может потребоваться провести оценку воздействия защиты данных, назначить сотрудника по защите данных, управлять маркетингом и другими методами коммуникации компании, а также пересмотреть процессы управления поставщиками и заключения договоров, и это лишь некоторые из них.

Если у вас есть прочная основа, составив план действий по обработке данных, вы даете себе большое преимущество при ответе на любой последующий вопрос о соответствии GDPR, с которым вы столкнетесь.

Ниже вы найдете некоторые дополнительные ресурсы, которые мы посоветовали и сочли полезными, и мы надеемся, что они также будут полезны для вас.

GDPR упоминается во многих разных местах, и трудно отслеживать хорошие ресурсы, доступные в Интернете. Вот некоторые ресурсы, которые мы консультируем, чтобы быть в курсе изменений GDPR:

  • Все начинается с юридического текста : Полный юридический текст GDPR находится здесь, а ссылка на Директиву о защите данных находится здесь.

  • Надзорный орган : Управление по защите данных (DPA) есть в каждом государстве-члене ЕС, и многие из них опубликовали полезные рекомендации по внедрению GDPR. Здесь вы найдете список DPA.

  • Рабочая группа по статье 29 (WP29), которая вскоре станет Европейским советом по защите данных (EDPB) : WP29 – консультативный орган, состоящий из представителей DPA каждого государства-члена ЕС, Европейского надзорного органа по защите данных и Европейского совета по защите данных. Комиссия.С 25 мая 2018 года WP29 станет EDPB. В EDPB войдут глава DPA каждого государства-члена ЕС и европейский надзорный орган по защите данных.

    WP29 выпустил сотни руководств и мнений, а также открыл несколько тем для консультаций. Все самые последние руководящие принципы и мнения сосредоточены на том, как наилучшим образом внедрить элементы GDPR в структуру соответствия организации. Редакция WP29 здесь.

    На старом веб-сайте Рабочей группы 29 было много дополнительных ресурсов, которые, к сожалению, не так легко доступны сейчас с новым макетом веб-сайта.Архив с дополнительными материалами доступен здесь.

  • Некоторые DPA, юридические фирмы, организации по обеспечению конфиденциальности, такие как IAPP, и многие другие организации, НПО и компании проводят мероприятия, связанные с GDPR. Вполне вероятно, что у других организаций возникнут вопросы, очень похожие на ваши, о внедрении GDPR. Это отличная возможность обратиться к сообществу GDPR и вместе поработать над вопросами.

Оставайтесь на связи

Мы сообщим вам, когда опубликуем новые руководства или обновления.

Вернуться к руководствам

Политика защиты и обработки персональных данных

СТАМБУЛЬСКИЙ ФОНД КУЛЬТУРЫ И ИСКУССТВ ПОЛИТИКИ ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Версия 0.2
21.09.2018

Содержание

ВВЕДЕНИЕ

  • ВВЕДЕНИЕ
    • Цель и сфера действия политики
    • Правоприменение и поправки
    • Контроллер данных
    • Ваши личные данные, собранные до вступления в силу PDPL
  • СУБЪЕКТОВ ДАННЫХ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ НАШЕМ ФОНДОМ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗЛИЧНЫЕ КАТЕГОРИИ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, СПОСОБЫ / КАНАЛЫ И ЮРИДИЧЕСКИЕ ЦЕЛИ СБОРА ДАННЫХ ЛИЦА СБОРА ДАННЫХ
    • Субъекты данных
    • Цели обработки персональных данных
    • Категории персональных данных
    • Способы / каналы и законные цели сбора персональных данных
  • ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
  • ИНФОРМИРОВАНИЕ СУБЪЕКТОВ ДАННЫХ И ИХ ПРАВА
  • ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
  • ДРУГИЕ ВЕБ-САЙТЫ / ТРЕТЬИ ЛИЦА И ИХ ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
  • КОНКРЕТНЫЕ ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫЕ İKSV
    • Пользователи, посещающие сайты İKSV
    • Предоставление доступа в Интернет для посетителей İKSV в помещениях İKSV
    • Мониторинг посетителей, входящих в помещения İKSV
    • Мониторинг здания İKSV и его окрестностей с помощью камер видеонаблюдения
    • Поддержание профессиональных отношений с поставщиками, подрядчиками и деловыми партнерами İKSV
    • Управление запросами / жалобами

ОПРЕДЕЛЕНИЯ

Явное согласие Конкретное, осознанное и добровольно данное согласие.
Анонимизация Исключение возможности связать личные данные с каким-либо идентифицированным или идентифицируемым физическим лицом ни при каких обстоятельствах, включая сопоставление личных данных с другими данными.
Сотрудник Физическое лицо, являющееся сотрудником İKSV.
Соискатель Физическое лицо, которое не является сотрудником İKSV, но может стать таковым с помощью различных методов.
Персональные данные о здоровье Любая медицинская информация об идентифицированном или идентифицируемом физическом лице.
Персональные данные Любой тип информации об идентифицированном или идентифицируемом физическом лице.
Субъект данных Физическое лицо, персональные данные которого обрабатываются.
Обработка персональных данных Любая операция, выполняемая с персональными данными, такая как сбор, запись, хранение, обслуживание, изменение, реорганизация, раскрытие, передача, принятие, извлечение, классификация или ограничение доступа к персональным данным с использованием полностью или частично автоматических методов или других неавтоматических методов. методы при условии, что это часть системы регистрации данных.
Закон Закон о защите личных данных № 6698, опубликованный в Официальном вестнике Турции № 29677 от 7 апреля 2016 года.
Особые категории персональных данных Персональные данные, касающиеся расы, этнического происхождения, политических взглядов, философских или религиозных убеждений, принадлежности к секте, других убеждений, стиля одежды, членства в ассоциации, фонде или профсоюзе, физического или психического здоровья, сексуальной жизни или сексуальная ориентация, судимость и меры безопасности, генетические или биометрические данные.
Политика Стамбульский фонд культуры и искусства Политика защиты и обработки персональных данных
Фундамент / İKSV Стамбульский фонд культуры и искусства (İKSV) и İstanbul Kültür ve Sanat Vakfı Turizm Pazarlama Organizasyon ve Tanıtım İktisadi İşletmesi
Деловые партнеры Лица, с которыми İKSV стала партнерами в договорных отношениях в рамках своей деятельности.
Субъект данных Физическое лицо, персональные данные которого обрабатываются.
Процессор данных Физическое или юридическое лицо, которое обрабатывает персональные данные на основании полномочий, предоставленных контролером данных и от его имени.
Контроллер данных Лицо, определяющее цели и средства обработки персональных данных, и являющееся руководителем места систематического хранения данных.

1. ВВЕДЕНИЕ

1.1 Цель и объем политики

Закон № 6698 («Закон» или «PDPL» ) о защите личных данных вступил в силу 7 апреля 2016 года. Настоящая Политика İKSV ( «Политика» ) по защите и обработке личных данных Data стремится установить принципы, которые необходимо соблюдать, для İstanbul Kültür ve Sanat Vakfı («İKSV» или «Foundation») и его дочернего коммерческого предприятия İstanbul Kültür ve Sanat Vakfı Tur.Пас. Орг. İktisadi İşletmesi («İKSV»), которая сама по себе не является юридическим лицом, для выполнения обязательств, связанных с защитой и обработкой персональных данных , и для информирования субъектов данных, чьи персональные данные будут обрабатываться.

Настоящая Политика вводит условия и основные принципы, принятые İKSV для обработки персональных данных. В этом отношении Политика охватывает все действия İKSV по обработке данных, все персональные данные и всех субъектов данных, чьи данные обрабатывает İKSV, в рамках Закона.

Определения терминов, используемых в настоящей Политике, доступны в начале этого документа.

1.2. Правоприменение и поправки

İKSV опубликовала первую версию Информационной записки об обработке персональных данных 7 октября 2016 года на своем веб-сайте. Настоящая Политика является второй версией вышеупомянутого текста, ранее опубликованной İKSV и опубликованной на веб-сайте с 21 сентября 2018 года.

İKSV оставляет за собой право вносить поправки в настоящую Политику в соответствии с правовыми нормами.

1.3. Контроллер данных

İKSV, включая его дочернее коммерческое предприятие İstanbul Kültür ve Sanat Vakfı Turizm Pazarlama Organizasyon ve Tanıtım İktisadi İşletmesi, которое не является юридическим лицом, согласно PDPL, является Контроллером данных в отношении обработки ваших личных данных.

1,4. Ваши личные данные, собранные до вступления в силу PDPL

Ваши личные данные, собранные на законных основаниях путем вступления в членство, разрешения на получение коммерческих электронных сообщений, посещения мероприятия, покупки билетов или другими способами до вступления в силу PDPL 7 апреля 2016 года, должны обрабатываться и храниться в соответствии с условия настоящей Политики , а также могут быть переданы за границу – в страны, которые имеют достаточные меры в отношении защиты личных данных, и / или в страны, не принимающие таких мер, при условии, что условия, указанные в Законе о защите личных данных, должны быть удовлетворены – при условии, что они будут обрабатываться в Турции или обрабатываться и храниться за пределами Турции.

2. СУБЪЕКТЫ ДАННЫХ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ НАШЕМ ФОНДОМ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗЛИЧНЫЕ КАТЕГОРИИ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, СПОСОБЫ / КАНАЛЫ И ЮРИДИЧЕСКИЕ ЦЕЛИ СБОРА ДАННЫХ

2. 1. Субъекты данных

Субъектами данных, на которые распространяется действие настоящей Политики, являются физические лица, за исключением сотрудников İKSV, чьи персональные данные обрабатываются İKSV. В этом контексте различные категории субъектов данных следующие:

КАТЕГОРИИ ПРЕДМЕТОВ ДАННЫХ ОПРЕДЕЛЕНИЕ
1 Участник Физическое лицо, посещающее мероприятие, проводимое İKSV.
2 Участник электронного бюллетеня Физическое лицо, заинтересованное в мероприятиях и деятельности İKSV, которое хотело бы получать информацию о таких событиях и действиях.
3 Посетитель Физическое лицо, которое посещает здания, сооружения, помещения и веб-сайт İKSV.
4 Соискатель Физическое лицо, которое подает заявку на вакансию в İKSV, отправив резюме или другим способом.
5 Третьи лица Физические лица, не являющиеся сотрудниками İKSV и не подпадающие ни под одну из категорий субъектов данных, упомянутых в данном документе, включая тех лиц и сотрудников учреждений, с которыми İKSV поддерживает деловые отношения.
6 Художник Художник, который посещает мероприятия, фестивали и биеннале İKSV, выступает с речами, выступает, демонстрирует свою продукцию или принимает участие в комитетах и ​​т. Д., С которым İKSV может общаться с помощью различных средств.
7 Владелец карты Tulip Владелец карты Tulip, которая, по сути, представляет собой индивидуальную программу пожертвований, предназначенную для поддержки мероприятий и мероприятий İKSV.
8 Заявитель / держатель карты культуры и искусства Человек, участвующий в розыгрыше карты культуры и искусства и выигравший карту культуры и искусства в этой розыгрыше, организованном İKSV для поощрения молодых людей к посещению мероприятий в области культуры и искусства.
9 Участник Лицо, подающее заявку на участие в конкурсах и стипендиальных программах, поддерживаемых / организованных İKSV, или выигравшее их.
10 Исследователь архивов Физическое лицо, которое проводит исследования в архивах İKSV.

Вышеуказанные категории субъектов данных предназначены для общих информационных целей. Согласно Закону, не подпадание ни под одну из вышеперечисленных категорий в качестве субъекта данных не означает, что указанное лицо не может быть квалифицировано как субъект данных.

2.2. Цели обработки персональных данных

Ваши персональные данные и персональные данные особой категории могут обрабатываться İKSV для следующих целей в соответствии с условиями обработки персональных данных, установленными законом и соответствующим законодательством:

  • Осуществление деятельности İKSV, Планирование и проведение институциональных отношений,
  • Разработка и осуществление хозяйственных операций, работ, операций Фонда
  • Осуществление отчетной деятельности, направленной на контроль, управление данными, анализ, социальную деятельность, развитие процессов и т. Д.
  • Выполнение операций, направленных на начало или возобновление договорных отношений, исследования, анализ и отчетность
  • Проведение требуемых по закону процедур / записей / деклараций, ведение и отслеживание юридических дел; предоставление юридических заключений, исков и судебных разбирательств, осуществление законного права на защиту
  • Планирование, разработка и выполнение институционального управления и коммуникационной деятельности
  • Планирование, организация и проведение встреч, вечеринок и мероприятий
  • Организация и выполнение операций и мероприятий, направленных на управление договорными и постконтрактными отношениями, такими как продажи, спонсорство, закупка услуг, консультирование; проведение и контроль операций и мероприятий, направленных на выполнение договорных обязательств
  • Ведение учета деловых партнеров Фонда; планирование и проведение листинговых операций
  • Содействие общению со всеми юридическими лицами İKSV, такими как деловые партнеры, поставщики, поставщики услуг, консультанты, спонсоры, субподрядчики, которые находятся в деловых отношениях с İKSV, для поддержания отношений между Фондом и его учреждениями,
  • Учет участников организаций и мероприятий
  • Планирование, контроль и ведение финансово-бухгалтерской деятельности,
  • Управление, развитие, планирование и поддержание профессиональных отношений с поставщиками / дилерами / деловыми партнерами
  • Развитие отношений с посетителями, жертвователями и участниками мероприятий
  • Установление и поддержание спонсорских отношений,
  • Мониторинг, планирование и проведение мероприятий, направленных на получение аутсорсинговых услуг / консультаций
  • Осуществление мероприятий по поддержанию точности и актуальности данных
  • Выполнение всех операций, необходимых для предоставления Пользователям возможностей, таких как членство, приглашения, мероприятия; принятие мер, чтобы сделать такие возможности доступными для пользователей
  • Проведение анализа и надзора для объявления об услугах, которые должны быть предоставлены, и о содержании этих услуг, для повышения качества таких услуг и разработки новых услуг,
  • Поддержание отношений с держателями карты «Тюльпан», оповещение их о новых возможностях,
  • Связь с артистами и их приглашение на концерты, мероприятия, фестивали и биеннале, а также предоставление им транспорта и жилья,
  • Запись событий İKSV на камеры видеонаблюдения
  • Связь с поставщиками и поставщиками услуг для мероприятий İKSV и поддержание деловых отношений с ними
  • Рассылка приглашений на церемонии открытия и мероприятия,
  • Прием заявок на розыгрыши, конкурсы и программы поддержки; забота о соответствующих юридических процессах по мере необходимости; связаться с победителями и вручить им приз или пособие
  • Выполнение законодательных обязательств, особенно законодательства о фондах
  • Проведение необходимых исследований и операций в Фонде, чтобы иметь возможность рассматривать запросы и жалобы, полученные İKSV
  • Разработка культурной политики и стратегии фонда,
  • Ведение списков архивов Исследователи, изучающие и анализирующие архивы İKSV; обработка данных, таких как уровень образования, возрастная группа и учреждение, к которому обращаются исследователи архивов, для статистических целей.
  • Поддержание развития бизнеса, финансирование и маркетинговая деятельность,
  • Планирование и проведение операций, направленных на рекламу, продажи и маркетинг
  • Планирование и проведение мероприятий, направленных на продвижение учреждения, его деятельности и ценности бренда
  • Проведение опросов и анализа лояльности, профилирования и удовлетворенности; планирование и проведение маркетинговых исследований
  • Планирование и выполнение действий, направленных на настройку рекламных акций и объявлений путем анализа привычек и тенденций
  • Разработка и планирование мероприятий и мероприятий İKSV с учетом предпочтений и личных интересов посетителей
  • Установление требований к участию в мероприятиях, соревнованиях İKSV и т. Д.и поощрение участия,
  • Уведомление об общих или эксклюзивных акциях, рекламных объявлениях, скидках и т. Д. И рассылка праздничных открыток или открыток добрых пожеланий
  • Оценка персональных данных в рамках статистического обследования для улучшения услуг без раскрытия личности лиц, а также реструктуризация и реорганизация предоставляемых услуг на основе интересов пользователей
  • Планирование и организация рекламных акций и рекламы мероприятий İKSV, включая карту Tulip
  • Планирование, управление и выполнение контрактов и поддержание отношений со зрителями, участниками мероприятия и посетителями
  • Осуществление стратегического планирования
  • Осуществление мероприятий, направленных на поддержание точности и актуальности данных.
  • Обеспечение безопасности помещений İKSV и цифровых носителей
  • Планирование и осуществление мероприятий в области информационных технологий и безопасности данных
  • Планирование и выполнение действий / улучшений и анализа, направленных на доступ к системам
  • Обеспечение безопасности физической и цифровой среды Фонда и его помещений
  • Запись на камеры видеонаблюдения
  • Планирование и выполнение процессов по охране труда
  • Предоставление интернет-услуг в помещениях İKSV, хранение записей доступа согласно соответствующему законодательству
  • Учет всех посетителей, прибывающих и покидающих Фонд
  • Создание резервных копий данных для предотвращения потери данных
  • Организация, планирование, выполнение и контроль действий, направленных на обеспечение коммерческой безопасности деловых партнеров Фонда.
  • Планирование и выполнение операций и мероприятий для кандидатов на работу и бывших сотрудников İKSV
  • Проведение мероприятий по оценке квалификации соискателей
  • Выполнение и регистрация необходимых операций по набору персонала и ведение учета нового найма
  • Связь с кандидатами на вакансию, когда открывается подходящая вакансия
  • Связь с бывшими сотрудниками и планирование мероприятий, направленных на бывших сотрудников.

2.3. Категории персональных данных

Ваши персональные данные, отнесенные к следующей категории, будут обрабатываться İKSV в соответствии с условиями обработки персональных данных, указанными в Законе и соответствующем законодательстве:

КАТЕГОРИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПРЕДЕЛЕНИЕ
Идентификационный номер Вся информация, касающаяся личности субъекта данных, доступна в таких документах, как водительские права, удостоверение личности, свидетельство о проживании, паспорт, свидетельство о браке
Контактная информация Информация, такая как номер телефона, адрес и электронная почта, для связи с субъектом данных
Данные об образовании, деловой и профессиональной жизни Вся информация, относящаяся к образованию и деловой жизни субъекта данных
Информация об участнике мероприятия Информация о субъекте данных, который посетил, купил билеты на фестивали, биеннале, концерты и аналогичные мероприятия İKSV, которые демонстрируют участие в мероприятиях, привычки покупки билетов и предпочтения участников карты Tulip
Платежная информация Платежная информация и записи, необходимые для покупки продуктов в İKSV, таких как билеты, карта Tulip и т. Д.
Информация о безопасности физического объекта Видеозаписи и записи отпечатков пальцев, сделанные на входе или на физических объектах, а также личные данные, относящиеся к этим документам
Информация о безопасности процесса Персональные данные, обрабатываемые для нас, чтобы обеспечить техническую, административную, правовую и коммерческую безопасность при осуществлении нашей деятельности
Финансовая информация Персональные данные, обрабатываемые в отношении любой информации, документов и записей, которые показывают любой тип финансового результата, достигнутого в зависимости от типа правовых отношений между Фондом и субъектом данных
Информация о кандидате Персональные данные, обрабатываемые в отношении лица, подавшего заявку на вакансию в Фонде или прошедшего оценку в качестве кандидата на работу в соответствии с обычными практиками или добросовестностью, в соответствии с потребностями нашего Фонда в человеческих ресурсах, или лица, которое профессиональные отношения с нашим фондом
Информация о судебных разбирательствах и соответствии Персональные данные, обрабатываемые в отношении расчета и отслеживания наших законных прав и дебиторской задолженности , в соответствии с нашими юридическими обязательствами и политикой нашего фонда
Информация об аудитах и ​​проверках Персональные данные, обрабатываемые в соответствии с нашими юридическими обязательствами и политикой Фонда
Данные особой категории Данные, касающиеся расы, этнического происхождения, политических взглядов, философских или религиозных убеждений, принадлежности к секте, других убеждений, стиля одежды, членства в ассоциации, фонде или профсоюзе, физического или психического здоровья, сексуальной жизни или сексуальных отношений. ориентация, осуждение и меры безопасности, генетические или биометрические данные
Маркетинговая информация Персональные данные, обрабатываемые в отношении маркетинга мероприятий и концертов İKSV, путем их настройки на основе предпочтений и личных интересов подписчиков İKSV; предпочтения в социальных сетях, отчеты и оценки, собранные в результате такой обработки данных
Чтение информации о состоянии Информация о доступе к электронным письмам, отправленным субъекту данных; уведомления о прочтении, IP-адрес, имя пользователя, место последнего чтения электронной почты, уведомления о выходе из членства и спам
Информация об управлении запросами / жалобами Персональные данные, касающиеся приема и оценки любого запроса или жалобы, адресованной нашему Фонду
Файлы cookie данных об использовании цифровых носителей Любой тип данных, собранных путем отслеживания действий пользователей на цифровых носителях, таких как время навигации, подробные сведения и данные о местоположении.
Данные об использовании веб-сайта, например всплывающих окон

2.4. Способы / каналы и правовые цели сбора персональных данных

Персональные данные могут быть собраны устно, письменно или в электронной форме на физической или виртуальной платформе от лиц, которые делятся своими личными данными с İKSV лично или удаленно. Ниже приведены основные методы сбора таких данных:

  • веб-сайты / приложения İKSV; Веб-сайты / приложения Biletix в случае, если субъекты данных, которые покупают билеты İKSV у Biletix, дают свое явное согласие или без такого согласия, когда выполняется какое-либо из условий обработки личных данных,
  • Карта Tulip или членство в электронном бюллетене,
  • Формы, подготовленные İKSV,
  • Электронные письма, отправленные субъектами данных, и связь, установленная с субъектом данных в информационных киосках, стойках или по телефону,
  • Социальные сети (Facebook, Twitter, Instagram и т. Д.) посты,
  • Согласие на получение коммерческого электронного сообщения, SMS, E-mail,
  • Обмен личными данными путем отправки резюме в İKSV, чтобы начать деловые отношения или подать заявку на должность и т. Д.,
  • CCTV,
  • Журналы посетителей,
  • Заявки на участие в конкурсах, розыгрышах, программах поддержки İKSV,
  • Через спонсорские и организационные компании, туристических агентов, страховые фирмы и т. Д.которые имеют деловые отношения с İKSV в связи с работой в таких компаниях,
  • Обмен визиток,
  • Файлы cookie и аналогичные технологии отслеживания.

İKSV также может собирать анонимные аналитические данные через свой веб-сайт, Biletix, Google Analytics и Facebook. Согласие на передачу персональных данных, предоставленное пользователями веб-сайта соответствующим третьим лицам, создает основу для использования таких данных.

İKSV оставляет за собой право добавлять новые методы и каналы в дополнение к вышеупомянутым методам сбора личных данных, а также отказываться от любых из вышеуказанных методов и каналов и вносить поправки в настоящую Политику. О любых таких изменениях будет объявлено в обновлении Политики. Поэтому мы рекомендуем вам регулярно посещать веб-сайт, на котором публикуется Политика, чтобы проверять, есть ли какие-либо обновления политики.

Правовые цели сбора персональных данных могут варьироваться от случая к случаю. Они упоминаются в статье 5 Закона следующим образом:

  • Явное согласие субъекта данных: При отсутствии других условий обработки данных İKSV может обрабатывать личные данные субъекта данных с добровольно предоставленного согласия субъекта данных, который достаточно информирован об обработке личных данных деятельность, не оставляющая места для сомнений и ограниченная конкретной рассматриваемой деятельностью.
  • Явное разрешение, предусмотренное законодательством: В случае, если это прямо разрешено законодательством, İKSV может обрабатывать персональные данные без явного согласия субъекта данных. Соответственно, İKSV обрабатывает личные данные в рамках соответствующего законодательства.
  • Когда субъект данных физически не может дать явное согласие и необходимо обработать личные данные, İKSV может обрабатывать личные данные субъекта данных, который физически или юридически неспособен дать явное согласие, при условии, что это необходимо для защиты жизни или физической неприкосновенности субъекта данных или третьего лица.
  • Когда обработка персональных данных напрямую связана с заключением или исполнением договора , персональные данные обрабатываются, если это необходимо для обработки персональных данных сторон существующего или нового договора между субъектом данных и İKSV.
  • Когда необходимо обработать персональные данные для выполнения юридического обязательства, которому подчиняется контроллер данных, İKSV может обрабатывать персональные данные для выполнения юридических обязательств, предусмотренных действующим законодательством.
  • Когда субъект данных сделал свои личные данные общедоступными, İKSV может обрабатывать личные данные, которые уже стали общедоступными, в той мере, в какой это было намерено посредством такой публикации, без явного согласия субъекта данных,
  • Когда необходимо установить, реализовать или защитить право, İKSV может обрабатывать персональные данные без явного согласия субъекта данных в контексте такой необходимости.
  • Когда это необходимо для законных интересов контроллера данных и при условии, что основные права и свободы субъекта данных не будут нарушены, İKSV может обрабатывать персональные данные с учетом баланса между İKSV и интересы субъекта данных. В этих рамках İKSV в первую очередь устанавливает свои законные интересы, которые он должен поддерживать при такой обработке данных. İKSV также оценит потенциальное влияние обработки данных на права и свободы субъектов данных, и, соответственно, персональные данные будут обрабатываться, если İKSV считает, что баланс выгод сохраняется.
  • İKSV может обрабатывать особые категории персональных данных , обеспечивая принятие дополнительных мер, указанных Советом по защите персональных данных, при условии, что субъект данных дает явное согласие или это прямо предусмотрено законодательством.

3. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

İKSV может конфиденциально передавать личные данные физическим или юридическим лицам, проживающим в Турции или за ее пределами, путем принятия необходимых мер безопасности для достижения Целей обработки личных данных, указанных выше в статье 2. 2. При этом İKSV уделяет особое внимание правилам, изложенным в статьях 8 и 9 Закона, и выполняет дополнительные требования, введенные Советом по защите личных данных.

В рамках общих принципов и условий обработки данных, указанных в статьях 8 и 9 Закона, İKSV может передавать личные данные сторонам, указанным ниже, при условии, что будут приняты все необходимые технические и административные меры, включая выполнение Соглашение о неразглашении и обмене данными:

КАТЕГОРИИ СТОРОН ОБМЕНА ДАННЫМИ ОБЛАСТЬ ПРИМЕНЕНИЯ ЦЕЛЬ ПЕРЕДАЧИ (т.е.г.) ​​
Деловой партнер Стороны, с которыми İKSV устанавливает деловые партнерские отношения для осуществления своей коммерческой деятельности Предоставление персональных данных ограничивается выполнением целей для установления делового партнерства, о котором идет речь
Поставщик / поставщик услуг / консультант Компании-разработчики программного обеспечения, поставщики посреднических услуг, страховые компании, туристические агентства и т. Д., которые предоставляют свои услуги в соответствии с инструкциями İKSV и в соответствии с их контрактами с İKSV, направленными на поддержание деятельности İKSV Передача персональных данных, ограниченная выполнением цели получения услуг, таких как отправка коммерческих электронных писем, обработка, хранение и защита данных, программное обеспечение и консультационные услуги, которые предоставляются из-за границы поставщиком
Официально уполномоченный государственный орган Государственные органы и учреждения, уполномоченные законом получать информацию и документы от İKSV Предоставление персональных данных ограничивается целью удовлетворения информационных запросов соответствующих государственных органов и учреждений
Юридически уполномоченное частное лицо Частные лица, уполномоченные законом получать информацию и документы от İKSV Предоставление персональных данных ограничивается целью удовлетворения информационного запроса, отправленного частными организациями в рамках их законных полномочий
Прочие лица Другие лица, которым могут быть переданы ваши персональные данные Например, обмен личными данными с членами жюри, сформированного для выбора победителя в конкурсе İKSV

4. ИНФОРМИРОВАНИЕ СУБЪЕКТОВ ДАННЫХ И ИХ ПРАВА

В соответствии со статьей 10 Закона субъекты данных должны быть уведомлены об обработке их персональных данных не позднее, чем до или в ходе такой обработки. Согласно соответствующей статье, İKSV создала необходимую внутреннюю структуру, чтобы иметь возможность уведомлять субъектов данных в каждом случае, когда данные будут обрабатываться контроллером данных, то есть İKSV.

Мы хотели бы заявить, что как субъекты данных вы имеете следующие права в соответствии со статьей 11 Закона:

  • Чтобы узнать, обрабатываются ли ваши личные данные,
  • В случае обработки ваших личных данных, для запроса информации,
  • Чтобы узнать о цели обработки ваших данных и о том, используются ли они по назначению или нет,
  • Чтобы узнать третьих лиц в стране или за рубежом, которым передаются ваши личные данные,
  • Если ваши персональные данные обрабатываются не полностью или неточно, чтобы запросить исправление и, соответственно, потребовать уведомления третьих лиц, которым были переданы ваши персональные данные, о таких действиях,
  • Даже если ваши персональные данные обрабатываются в соответствии с Законом под номером 6698 и другими применимыми положениями, если причины, требующие обработки данных, больше не действительны, запросить удаление или уничтожение ваших персональных данных и, соответственно, запросить третье стороны, которым были переданы ваши персональные данные, должны быть уведомлены о таких действиях,
  • Возражать против анализа ваших обработанных данных исключительно с помощью автоматических средств, если это приводит к неблагоприятным для вас последствиям, и
  • Для запроса компенсации за ущерб, причиненный незаконной обработкой ваших персональных данных.

Как субъект данных вы можете передать Фонду свои претензии в отношении вышеупомянутых прав, заполнив Форму заявки Субъекта данных, которую вы найдете здесь. Ваш запрос будет рассмотрен как можно скорее или самое позднее в течение 30 (тридцати) дней, в зависимости от характера претензии; однако, если эта транзакция повлечет за собой дополнительные расходы, с вас будет запрошена компенсация в соответствии со ставками, установленными Советом по защите личных данных.

İKSV сначала определяет, является ли заявитель реальным бенефициаром во время оценки заявок. Однако İKSV может запросить подробную и дополнительную информацию, чтобы лучше понять запрос, когда сочтет это необходимым.

İKSV предоставляет ответы субъектам данных в письменной или электронной форме. В случае, если такая претензия может быть отклонена, субъекту данных будет предоставлена ​​информация о причинах отказа.

5. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные будут храниться в течение периода времени, предусмотренного соответствующим законодательством. В случае, если период времени не указан, İKSV будет хранить личные данные с учетом цели обработки данных для каждого действия по обработке данных.

Персональные данные должны быть удалены, уничтожены или обезличены İKSV ex officio или по запросу субъекта данных в соответствии с руководящими принципами, опубликованными Советом, в случае, если причины для обработки таких персональных данных больше не существуют независимо от Дело в том, что оно было обработано в соответствии со статьей 7 Закона.

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

İKSV, как одно из ведущих предприятий в сфере культуры и искусства в Турции, придает большое значение конфиденциальности и безопасности личных данных и принимает все необходимые технические и административные меры в соответствии с руководящими принципами, опубликованными Правлением в отношении конфиденциальности данных и безопасность. В рамках этой структуры İKSV хранит личные данные с высокой степенью конфиденциальности в своей базе данных в соответствии со статьей 12 PDPL и не передает такие данные третьим лицам в нарушение положений и договорных соглашений, а также положений настоящей политики.

İKSV, в соответствии со статьей 12 PDPL, принимает все необходимые меры, такие как хеширование, шифрование, управление доступом и меры физической безопасности для хранения личных данных, а также для защиты от любого незаконного доступа к своим информационным системам, содержащим личные данные, и для предотвращения обработка персональных данных. İKSV предотвращает незаконную обработку личных данных третьими лицами. В случае доступа к персональным данным третьих лиц незаконными методами, İKSV направит уведомление, которое должно быть сделано в соответствии со статьей 12 PDPL в соответствии с действующими нормативными актами.

7. ДРУГИЕ ВЕБ-САЙТЫ / ТРЕТЬИ ЛИЦА И ИХ ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

İKSV не несет ответственности за политику и практику конфиденциальности и персональных данных или за содержание других веб-сайтов, на которые можно перейти по ссылке, указанной на ее веб-сайте, а также за политику и практику конфиденциальности и персональных данных третьих лиц. Мы настоятельно рекомендуем вам ознакомиться с политикой и практикой таких третьих сторон в отношении конфиденциальности и личных данных.

8. КОНКРЕТНЫЕ ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫЕ İKSV

В дополнение к действиям по обработке данных, упомянутым выше в статье 2, İKSV будет обрабатывать персональные данные в следующих случаях, когда при необходимости также применяются другие положения настоящей Политики.

8.1. Пользователи, посещающие сайты İKSV

Навигационная деятельность пользователей, посещающих веб-сайты İKSV, отслеживается и анализируется анонимно с использованием средств, предоставляемых третьими сторонами, такими как Biletix, Google и Facebook.Согласие, данное пользователями этих веб-сайтов таким третьим сторонам на передачу личной информации, является основанием для использования таких данных.

8.2. Предоставление доступа в Интернет для посетителей İKSV в помещениях İKSV

Собранные персональные данные и цели обработки:

İKSV предоставляет услуги беспроводного Интернета в своих помещениях, где посетители могут получить к нему доступ. Согласно Закону № 5651 «Правила, регулирующие поставщиков массового использования» и соответствующему законодательству İKSV считается поставщиком услуг массового использования Интернета и, следовательно, обязана создавать определенные записи доступа и хранить их в течение 2 лет.

В рамках этой структуры İKSV запрашивает имена и номера телефонов у своих посетителей, чтобы выполнить свои юридические обязательства в качестве провайдера массового использования Интернета и предоставить своим посетителям доступ к беспроводному соединению. В то же время İKSV получает IP-адреса, MAC-адреса своих посетителей, время начала и окончания использования интернет-соединения и другую информацию, предусмотренную законодательством. Эти данные хранятся ограниченное время, предусмотренное законодательством.Ваши личные данные также могут обрабатываться для обеспечения программной, аппаратной и кибербезопасности для İKSV.

Способы и юридические основания для сбора персональных данных: :

Персональные данные собираются через портал, который облегчает доступ к беспроводному соединению, и могут обрабатываться, когда это прямо предусмотрено законодательством в соответствии со статьей 5/2 / a; когда это необходимо для того, чтобы İKSV могла выполнять свои юридические обязательства в соответствии со статьей 5/2 / ç; в случае, если обработка данных является обязательной для установления, осуществления или защиты любого права в соответствии со статьей 5/2 / e; и в случае, если обработка данных является обязательной для законных интересов контроллера данных, при условии, что эта обработка не нарушает основные права и свободы субъектов данных в соответствии со статьей 5/2 / f.

Обмен личными данными:

İKSV передает такие персональные данные уполномоченным государственным органам и учреждениям по запросу.

8.3. Мониторинг посетителей, входящих в помещения İKSV

Собранные персональные данные и цели обработки данных:

İKSV ведет журналы с такой информацией, как полное имя, идентификационные номера Турецкой Республики своих посетителей, которых они посещают в İKSV, какую компанию они представляют, а также часы входа и выхода посетителей, чтобы иметь возможность обеспечить безопасность учреждения и своих сотрудников, а также для предотвращения несанкционированного доступа в помещения, для выдачи входных карточек, которые могут открывать двери для посетителей, и для ведения записей безопасности.Такие личные данные будут храниться в течение определенного периода времени, чтобы предотвратить любые юридические споры, которые могут потенциально возникнуть после посещения.

Способы и юридические основания для сбора персональных данных:

Персональные данные собираются уполномоченным персоналом на стойке регистрации у входа в здание, и, кроме того, камеры видеонаблюдения контролируют здание и его окрестности в течение дня для обеспечения безопасности. Такая информация может обрабатываться, если это прямо указано в законах в соответствии со статьей 5/2 / а; когда İKSV необходимо выполнить свои юридические обязательства, такие как защита и обеспечение безопасности своих сотрудников в соответствии со статьей 5/2 / ç; для установления, осуществления или защиты любого права в соответствии со статьей 5/2 / e; и в случае, если обработка данных является обязательной для законных интересов контроллера данных при условии, что эта обработка не нарушает основные права и свободы субъектов данных в соответствии со статьей 5/2 / f.

Обмен личными данными:

Такая информация, принадлежащая посетителям, хранится в системах, доступных только специально обученному персоналу частной охранной компании, оказывающей услуги İKSV, и сотрудникам службы безопасности İKSV. Помимо упомянутой охранной компании, оказывающей услуги İKSV, эта информация также может быть передана уполномоченным государственным органам и учреждениям по запросу.

8.4. Мониторинг здания İKSV и его окрестностей с помощью камер видеонаблюдения

Собранные персональные данные и цели обработки данных:

Здание

İKSV и его окрестности контролируются камерами видеонаблюдения, чтобы обеспечить безопасность учреждения, его сотрудников и посетителей.Записи с камер видеонаблюдения доступны только специально обученному персоналу частной охранной компании, оказывающей услуги İKSV, и сотрудникам службы безопасности İKSV. İKSV уделяет пристальное внимание таким записям камеры, чтобы не нарушать конфиденциальность посетителей. Позиции, где расположены камеры, показываются посетителям с помощью специальных вывесок. Записи камеры хранятся 1 (один) месяц и впоследствии периодически уничтожаются.

Способы и юридические основания для сбора персональных данных:

Личные данные собираются с помощью камер видеонаблюдения, расположенных вокруг помещений İKSV, и могут обрабатываться, когда это необходимо для выполнения İKSV своих юридических обязательств, таких как защита и обеспечение безопасности своих сотрудников в соответствии со статьей 5/2 / ç; для установления, осуществления или защиты любого права в соответствии со статьей 5/2 / e; и в случае, если обработка данных является обязательной для законных интересов контроллера данных при условии, что эта обработка не нарушает основные права и свободы субъектов данных в соответствии со статьей 5/2 / f.

Обмен личными данными:

Записи с камеры могут быть переданы только уполномоченным государственным органам и учреждениям по запросу, за исключением частной охранной компании, оказывающей услуги İKSV.

8,5. Поддержание профессиональных отношений с поставщиками, подрядчиками и деловыми партнерами İKSV

Собранные персональные данные и цели обработки данных:

İKSV получает услуги от многочисленных корпораций и физических лиц, поддерживает деловые партнерства и сотрудничество, а также вступает в ряд договорных отношений, включая спонсорство, чтобы иметь возможность вести свой бизнес.İKSV обрабатывает личные данные таких физических лиц и корпоративных сотрудников, чтобы иметь возможность управлять этими договорными / профессиональными отношениями.

İKSV получает контактные данные, такие как полное имя, идентификационные номера Турецкой Республики, адреса электронной почты, номера телефонов, адреса проживания и, при необходимости, платежные данные, такие как реквизиты банковского счета, от указанных физических лиц и сотрудников. İKSV может также собирать у сотрудников поставщиков, при необходимости, информацию о персонале, такую ​​как полное имя, идентификационные номера Турецкой Республики, сведения о судимости, заработной плате по социальному страхованию и информацию о гигиене и безопасности труда, а также другую информацию, такую ​​как отчет о состоянии здоровья, гигиена труда. и сертификат обучения технике безопасности.

Такие собранные данные обрабатываются для таких целей, как исполнение, заключение или продление контракта между İKSV и физическими лицами, которые предоставляют услуги или находятся в сотрудничестве с İKSV, спонсорские или аналогичные договорные отношения; планирование институционального управления и коммуникационной деятельности; планирование, управление и проведение организаций, встреч, вечеринок и мероприятий; осуществление деятельности по управлению и анализу данных; ведение записей о сторонах, поддерживающих деловые отношения с İKSV, и выполнение листинговых работ; ведение учета участников мероприятий и рассылка приглашений и уведомлений. Персональные данные хранятся до конца срока исковой давности после прекращения договорных отношений с İKSV.

Способы и юридические основания для сбора персональных данных:

Персональные данные собираются через каналы связи, такие как электронная почта и телефон, учреждения, с которыми İKSV поддерживает профессиональные отношения, подписные проспекты, доверенности (POA) и контракты. Все личные данные обрабатываются в системе реестра данных İKSV.Юридические причины для сбора персональных данных следующие:
Когда это прямо предусмотрено в законах в соответствии со Статьей 5/2 / а и Статьей 6/3; когда необходимо заключить, исполнить и расторгнуть договор с субъектом данных или его / ее зарегистрированной компанией в соответствии со статьей 5/2 / c; для İKSV для выполнения своих юридических обязательств в соответствии со статьей 5/2 / ç; когда персональные данные уже были опубликованы субъектом данных согласно 5/2 / d; и в случае, если обработка данных является обязательной для законных интересов контроллера данных при условии, что эта обработка не нарушает основные права и свободы субъектов данных в соответствии со статьей 5/2 / f. В отсутствие правовой причины, указанной в настоящем документе или в законе, ваши личные данные будут обрабатываться с вашего явного согласия в соответствии со статьями 5/1 и 6/2.

Обмен личными данными:

Персональные данные передаются только уполномоченным юридическим лицам и учреждениям, судам и третьим сторонам, с которыми İKSV сотрудничает или получает услуги, и только для целей выполнения юридических обязательств, вытекающих из соответствующего законодательства, в частности, трудового законодательства и охраны труда. и здоровье или выполнение контракта, или установление юридической безопасности и других прав İKSV.

8.6. Управление запросами / жалобами

Посетители

İKSV могут сообщить свои пожелания, предложения, запросы и жалобы по контактным данным İKSV в устной или письменной форме. İKSV может обрабатывать персональные данные таких субъектов данных, такие как их имена, детали связи и предмет запросов / жалоб, чтобы иметь возможность отвечать на их запросы и жалобы и гарантировать удовлетворение своих посетителей. Такая информация должна храниться с момента разрешения сообщения или с момента получения сообщения в случае неразрешенного сообщения до конца срока давности.

Дополнительная информация о защите персональных данных. GDPR. Instituto Cervantes

В соответствии с Регламентом (ЕС) 2016/679 Общего регламента по защите данных и действующим законодательством, это информирует вас о том, что личные данные, которые вы нам предоставили, будут обрабатываться Instituto Cervantes, который несет ответственность за их обработку, для цель предоставить вам информацию о деятельности, целях и услугах Института Сервантеса.

Кто отвечает за обработку ваших данных?

Название организации : Instituto Cervantes
Адрес : c / Alcalá 49, 28014 Madrid (Испания)
Телефон : (+34) 914 36 76 00
Эл. Почта : [email protected]
Защита данных Ответственность : Генеральная инспекция обслуживания министров иностранных дел Asuntos Exteriores, Unión Europea y de Cooperación ([email protected] es)

Что делает обработку ваших данных законной?

Правовой основой для вышеупомянутого использования – отправки рекламных материалов – является ваше явное согласие.

Как долго мы будем хранить ваши данные?

Ваши личные данные будут храниться до тех пор, пока вы не попросите их удалить или не отзовете предоставленное вами согласие.

Кому будут отправлены ваши данные?

Instituto Cervantes не будет предоставлять ваши данные третьим лицам, за исключением случаев, когда это связано с законом.

Каковы ваши права в отношении обработки данных?

В любое время вы можете воспользоваться своими правами на доступ, изменение, возражение, переносимость данных, ограничение обработки и удаление данных, которые вы нам предоставили, связавшись с Instituto Cervantes по электронной почте на адрес lopd @ cervantes.Например, по почте на адрес c / Alcalá, n.º 49, Madrid 28014 (Испания), или лично по указанному адресу.

Вы имеете право получить подтверждение того, как обрабатываются ваши данные, получить доступ к вашим личным данным, запросить исправление данных, которые могут быть неточными, или, при необходимости, запросить их удаление, когда, среди прочего, данные могут больше не требуется для цели, для которой он был собран, или вы отозвали свое согласие.

В некоторых случаях вы можете запросить ограничение на использование ваших данных, чтобы мы сохранили их только в соответствии с действующими правилами; в других случаях вы можете воспользоваться своим правом на переносимость ваших данных, которые будут переданы в структурированном формате для общего использования или машиночитаемом вам или другой стороне, ответственной за их обработку, в соответствии с вашими указаниями.

Вы имеете право в любой момент отозвать свое согласие на любое одобренное вами использование.

В Instituto Cervantes есть формы для осуществления ваших прав, которые можно запросить по электронной почте с адреса [email protected], или вы можете использовать формы, подготовленные Agencia Española de Protección de Datos или третьими сторонами. Эти формы должны быть подписаны в электронном виде или сопровождаться ксерокопией вашего национального документа, удостоверяющего личность, или паспорта. Если вы действуете через посредника, к запросу также должна быть приложена копия его / ее национального документа, удостоверяющего личность, или паспорта с электронной подписью.

Вы имеете право подать жалобу в Agencia Española de Protección de Datos, если считаете, что ваши права не были должным образом соблюдены. Максимальный срок для решения запроса составляет один месяц с момента его получения, который может быть продлен еще на два месяца в зависимости от количества полученных запросов и их сложности.

Если какие-либо из ваших данных изменятся, мы были бы благодарны, если бы вы своевременно уведомили нас об этом в письменной форме, чтобы мы могли поддерживать ваши данные в актуальном состоянии.

.